NetMedved: Nova Campanha de Verão Visa Organizações Russas com Táticas Evoluídas
A Positive Technologies detectou uma nova campanha de phishing orquestrada pelo grupo NetMedved, direcionada a organizações russas. A campanha emprega táticas sofisticadas, incluindo documentos-isca, ofuscação e o uso de ferramentas de acesso remoto legítimas para comprometer sistemas.
MundiX News·26 de junho de 2026·10 min de leitura·👁 1 views
A equipe de ciberinteligência da Positive Technologies identificou uma nova campanha de phishing orquestrada pelo grupo de hackers NetMedved, com foco em organizações russas. Similar a ataques anteriores documentados, os operadores utilizam temas de negócios, documentos-isca (bait documents) e a ferramenta de administração remota legítima NetSupport Manager, que é implantada no sistema da vítima. Em campanhas precedentes, o NetMedved já havia empregado arquivos compactados com documentos-isca, arquivos LNK maliciosos, PowerShell downloaders, scripts utilizando o serviço 'finger' e variantes HTA com decodificação de isca e NetSupportRAT extraído do corpo do arquivo. Na nova campanha, os operadores mantiveram o modelo de ataque principal, mas expandiram o conjunto de estágios iniciais e técnicas de infraestrutura.
Durante a investigação, foram identificadas duas principais linhas de desenvolvimento da campanha: Arquivos LNK que iniciam uma cadeia PowerShell através de um serviço redirector, obtêm um PowerShell stage criptografado com AES e implantam o NetSupport Client a partir de um arquivo ZIP; e uma variante ZIP/JScript, onde o payload está embutido diretamente no arquivo .js e é decodificado localmente via Windows Script Host. A cadeia de ataque utilizando arquivos LNK segue um padrão onde os arquivos LNK são disfarçados como pedidos de compra em nome de empresas russas. Os nomes dos documentos e arquivos são elaborados em estilo de negócios, visando funcionários que lidam com compras, contratos e fluxo de documentos. Para as variantes LNK, foi observado o padrão de nomes de arquivos: 'Заявка на закупку от компании [REDACTED] на июнь 2026г.lnk'. O PowerShell nesta cadeia atua como um downloader, acessando um recurso remoto, obtendo o próximo estágio do payload e executando-o na memória. Para dificultar a detecção, são utilizadas várias ofuscações típicas, como o uso do cmdlet Invoke-Expression de forma dinâmica através de Get-Command com um curinga, e a utilização do objeto COM MSXML2.ServerXMLHTTP em vez de mecanismos mais comuns do PowerShell como Invoke-WebRequest.
Na campanha atual, o domínio crop[.]sh não serve como servidor principal de payload, mas sim como uma camada intermediária de redirector entre o LNK inicial e a infraestrutura de entrega. Ao executar o arquivo LNK, é iniciado um acesso ao sunlightfriends.tech, e o servidor retorna um código PowerShell contendo um grande blob codificado em Base64. Este blob é um código PowerShell criptografado com AES para o próximo estágio. A chave e o vetor de inicialização (IV) também estão embutidos no script em formato Base64. O script, após decriptografar o blob com AES-128-CBC, o converte em código PowerShell e o executa na memória através de uma chamada ofuscada a Invoke-Expression. Após a decriptografia, o payload atua como um downloader, acessando o sunlightfriends.tech através do domínio redirect, baixando um arquivo ZIP, salvando-o em um diretório temporário e extraindo o conteúdo para %LOCALAPPDATA%/. O NetSupportRAT é então iniciado a partir do arquivo descompactado. Para persistência no sistema, é criada uma entrada de inicialização automática na chave de registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run, apontando para o NetSupportRAT extraído, garantindo que o payload seja executado automaticamente em logins subsequentes do usuário. Dentro do ZIP, encontra-se o client32.ini, um arquivo de configuração do NetSupport Client que define parâmetros para execução silenciosa, restrições de interface do usuário e servidores gateway.
Uma variante adicional de entrega do NetSupportRAT foi identificada, diferenciando-se da cadeia LNK com PowerShell. Neste caso, os operadores distribuíram um arquivo ZIP contendo um arquivo JScript malicioso, disfarçado de documento de compra. A temática de engenharia social permaneceu a mesma. O script atua como um JScript dropper, utilizando objetos COM do Windows para decodificar dados embutidos, gravar arquivos no disco, iniciar o documento-isca e garantir persistência no sistema. O mecanismo de decodificação de dados embutidos utiliza bin.base64 através do XML DOM, permitindo que tanto o documento-isca quanto os componentes do NetSupport Client sejam armazenados como dados codificados dentro do código JScript. Na variante observada, o payload principal é extraído do corpo do próprio script, eliminando a necessidade de acesso à infraestrutura externa. Após a execução, o JScript cria e abre um arquivo PDF (NOTICE-793-0001.pdf), enquanto simultaneamente implanta o NetSupport RAT. Diferentemente da variante LNK, onde o documento-isca faz parte do arquivo ZIP, na variante JScript o PDF é armazenado codificado diretamente dentro do script. Em uma das amostras LNK, uma tática adicional foi observada: o stager PowerShell abria automaticamente um link para o Yandex Disk, onde o arquivo PDF estava hospedado. O uso de um serviço de nuvem legítimo para hospedar a isca reduz a suspeita de tráfego de rede e dificulta o bloqueio por domínio. A variante JScript utiliza dois mecanismos de persistência: uma tarefa agendada oculta do Windows (Hidden=True) e uma chave de registro de inicialização automática do usuário atual (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stereo). A combinação desses mecanismos aumenta a resiliência da instalação. A análise retrospectiva revelou que a variante de entrega JScript tem sido utilizada pelo grupo desde pelo menos 2024, com semelhanças em cadeia de distribuição, documentos-isca e payload final. A nova atividade do NetMedved demonstra a contínua evolução das táticas de entrega de malware, mantendo o NetSupport Manager como payload principal. Mudanças notáveis incluem um serviço de redirector próprio (crop[.]sh), criptografia AES multinível, a variante ZIP/JScript que opera offline, e a infraestrutura clusterizada com domínios registrados na mesma data.
As táticas empregadas pelo NetMedved cobrem diversas fases do ciclo de vida de um ataque, incluindo Acesso Inicial (Phishing: Spearphishing Attachment), Execução (User Execution: Malicious File, PowerShell, JavaScript/JScript, Remote Access Software), Evasão de Defesa (Obfuscated Files or Information, Deobfuscate/Decode Files, Masquerading, Ingress Tool Transfer, Web Service, Time Based Evasion), Persistência (Registry Run Keys, Scheduled Task) e Descoberta (Query Registry, System Information Discovery, WMI). A comunicação de Comando e Controle (C2) utiliza protocolos de camada de aplicação como HTTP/HTTPS e portas não padrão (1414/TCP, 1411/TCP).
Os Indicadores de Comprometimento (IoCs) incluem domínios como crop[.]sh, sunlightfriends[.]tech, fleepsterones[.]fun, imhfamily[.]com, akiliridge[.]com, stillpaving[.]com e glowstickspro[.]com, associados a IPs e ASNs específicos. Indicadores de arquivo abrangem hashes MD5, SHA1 e SHA256 para arquivos ZIP, LNK, JS, PowerShell e documentos DOCX, permitindo a detecção e resposta a incidentes.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A equipe de ciberinteligência da Positive Technologies identificou uma nova campanha de phishing orquestrada pelo grupo de hackers NetMedved, com foco em organizações russas. Similar a ataques anteriores documentados, os operadores utilizam temas de negócios, documentos-isca (bait documents) e a ferramenta de administração remota legítima NetSupport Manager, que é implantada no sistema da vítima. Em campanhas precedentes, o NetMedved já havia empregado arquivos compactados com documentos-isca, arquivos LNK maliciosos, PowerShell downloaders, scripts utilizando o serviço 'finger' e variantes HTA com decodificação de isca e NetSupportRAT extraído do corpo do arquivo. Na nova campanha, os operadores mantiveram o modelo de ataque principal, mas expandiram o conjunto de estágios iniciais e técnicas de infraestrutura.
Durante a investigação, foram identificadas duas principais linhas de desenvolvimento da campanha: Arquivos LNK que iniciam uma cadeia PowerShell através de um serviço redirector, obtêm um PowerShell stage criptografado com AES e implantam o NetSupport Client a partir de um arquivo ZIP; e uma variante ZIP/JScript, onde o payload está embutido diretamente no arquivo .js e é decodificado localmente via Windows Script Host. A cadeia de ataque utilizando arquivos LNK segue um padrão onde os arquivos LNK são disfarçados como pedidos de compra em nome de empresas russas. Os nomes dos documentos e arquivos são elaborados em estilo de negócios, visando funcionários que lidam com compras, contratos e fluxo de documentos. Para as variantes LNK, foi observado o padrão de nomes de arquivos: 'Заявка на закупку от компании [REDACTED] на июнь 2026г.lnk'. O PowerShell nesta cadeia atua como um downloader, acessando um recurso remoto, obtendo o próximo estágio do payload e executando-o na memória. Para dificultar a detecção, são utilizadas várias ofuscações típicas, como o uso do cmdlet Invoke-Expression de forma dinâmica através de Get-Command com um curinga, e a utilização do objeto COM MSXML2.ServerXMLHTTP em vez de mecanismos mais comuns do PowerShell como Invoke-WebRequest.
Na campanha atual, o domínio crop[.]sh não serve como servidor principal de payload, mas sim como uma camada intermediária de redirector entre o LNK inicial e a infraestrutura de entrega. Ao executar o arquivo LNK, é iniciado um acesso ao sunlightfriends.tech, e o servidor retorna um código PowerShell contendo um grande blob codificado em Base64. Este blob é um código PowerShell criptografado com AES para o próximo estágio. A chave e o vetor de inicialização (IV) também estão embutidos no script em formato Base64. O script, após decriptografar o blob com AES-128-CBC, o converte em código PowerShell e o executa na memória através de uma chamada ofuscada a Invoke-Expression. Após a decriptografia, o payload atua como um downloader, acessando o sunlightfriends.tech através do domínio redirect, baixando um arquivo ZIP, salvando-o em um diretório temporário e extraindo o conteúdo para %LOCALAPPDATA%/. O NetSupportRAT é então iniciado a partir do arquivo descompactado. Para persistência no sistema, é criada uma entrada de inicialização automática na chave de registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run, apontando para o NetSupportRAT extraído, garantindo que o payload seja executado automaticamente em logins subsequentes do usuário. Dentro do ZIP, encontra-se o client32.ini, um arquivo de configuração do NetSupport Client que define parâmetros para execução silenciosa, restrições de interface do usuário e servidores gateway.
Uma variante adicional de entrega do NetSupportRAT foi identificada, diferenciando-se da cadeia LNK com PowerShell. Neste caso, os operadores distribuíram um arquivo ZIP contendo um arquivo JScript malicioso, disfarçado de documento de compra. A temática de engenharia social permaneceu a mesma. O script atua como um JScript dropper, utilizando objetos COM do Windows para decodificar dados embutidos, gravar arquivos no disco, iniciar o documento-isca e garantir persistência no sistema. O mecanismo de decodificação de dados embutidos utiliza bin.base64 através do XML DOM, permitindo que tanto o documento-isca quanto os componentes do NetSupport Client sejam armazenados como dados codificados dentro do código JScript. Na variante observada, o payload principal é extraído do corpo do próprio script, eliminando a necessidade de acesso à infraestrutura externa. Após a execução, o JScript cria e abre um arquivo PDF (NOTICE-793-0001.pdf), enquanto simultaneamente implanta o NetSupport RAT. Diferentemente da variante LNK, onde o documento-isca faz parte do arquivo ZIP, na variante JScript o PDF é armazenado codificado diretamente dentro do script. Em uma das amostras LNK, uma tática adicional foi observada: o stager PowerShell abria automaticamente um link para o Yandex Disk, onde o arquivo PDF estava hospedado. O uso de um serviço de nuvem legítimo para hospedar a isca reduz a suspeita de tráfego de rede e dificulta o bloqueio por domínio. A variante JScript utiliza dois mecanismos de persistência: uma tarefa agendada oculta do Windows (Hidden=True) e uma chave de registro de inicialização automática do usuário atual (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stereo). A combinação desses mecanismos aumenta a resiliência da instalação. A análise retrospectiva revelou que a variante de entrega JScript tem sido utilizada pelo grupo desde pelo menos 2024, com semelhanças em cadeia de distribuição, documentos-isca e payload final. A nova atividade do NetMedved demonstra a contínua evolução das táticas de entrega de malware, mantendo o NetSupport Manager como payload principal. Mudanças notáveis incluem um serviço de redirector próprio (crop[.]sh), criptografia AES multinível, a variante ZIP/JScript que opera offline, e a infraestrutura clusterizada com domínios registrados na mesma data.
As táticas empregadas pelo NetMedved cobrem diversas fases do ciclo de vida de um ataque, incluindo Acesso Inicial (Phishing: Spearphishing Attachment), Execução (User Execution: Malicious File, PowerShell, JavaScript/JScript, Remote Access Software), Evasão de Defesa (Obfuscated Files or Information, Deobfuscate/Decode Files, Masquerading, Ingress Tool Transfer, Web Service, Time Based Evasion), Persistência (Registry Run Keys, Scheduled Task) e Descoberta (Query Registry, System Information Discovery, WMI). A comunicação de Comando e Controle (C2) utiliza protocolos de camada de aplicação como HTTP/HTTPS e portas não padrão (1414/TCP, 1411/TCP).
Os Indicadores de Comprometimento (IoCs) incluem domínios como crop[.]sh, sunlightfriends[.]tech, fleepsterones[.]fun, imhfamily[.]com, akiliridge[.]com, stillpaving[.]com e glowstickspro[.]com, associados a IPs e ASNs específicos. Indicadores de arquivo abrangem hashes MD5, SHA1 e SHA256 para arquivos ZIP, LNK, JS, PowerShell e documentos DOCX, permitindo a detecção e resposta a incidentes.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
