Malware do agente LuckyStrike tem como alvo empresas de TI russas em ataque cibernético de piratas espaciais
As organizações de TI russas estão na mira de uma ameaça cibernética recém-descoberta, enquanto o grupo de hackers Space Pirates lança uma nova onda de ataques. A campanha maliciosa, detectada pela primeira vez em novembro de 2024 pela Solar, a divisão de segurança cibernética da Rostelecom da Rússia, aproveita uma cepa de malware até então desconhecida chamada LuckyStrike Agent. Esta sofisticada operação de espionagem cibernética, rastreada sob o codinome Erudite Mogwai, ressalta um esforço contínuo para infiltrar alvos de alto valor no setor de tecnologia da Rússia.
Table of Contents
Quem são os Piratas Espaciais?
Space Pirates é um grupo Advanced Persistent Threat (APT) conhecido por seu foco em espionagem cibernética, visando principalmente agências governamentais e indústrias de alta tecnologia. O grupo está ativo desde pelo menos 2017, com suas campanhas se estendendo além da Rússia para países como Geórgia e Mongólia. Ele compartilha sobreposições táticas notáveis com outro grupo APT vinculado à China, o Webworm, sugerindo laços potenciais com atividades cibernéticas patrocinadas pelo estado.
Por dentro do ataque do agente LuckyStrike
Intrusão inicial e movimento lateral
De acordo com pesquisadores da Solar, o ataque começou com o comprometimento de um serviço web acessível publicamente até março de 2023. Os invasores se moveram cautelosamente, conduzindo reconhecimento e se espalhando gradualmente pela rede ao longo de um período impressionante de 19 meses. Em novembro de 2024, eles obtiveram acesso a segmentos críticos da rede relacionados ao monitoramento do sistema.
O papel do agente LuckyStrike
O malware LuckyStrike Agent recém-descoberto é um backdoor .NET multifuncional que usa o Microsoft OneDrive para comunicação de comando e controle (C2). Isso permite que invasores emitam comandos secretamente e exfiltrem dados confidenciais enquanto se misturam ao tráfego de rede legítimo.
Ferramentas adicionais no ataque
Além do LuckyStrike Agent, os Space Pirates empregaram:
- Deed RAT (ShadowPad Light) – Um Trojan furtivo de acesso remoto que fornece acesso persistente.
- Stowaway Proxy modificado – Um utilitário de proxy personalizado otimizado para comunicações criptografadas, usando compressão LZ4, criptografia XXTEA e suporte ao protocolo QUIC para evitar detecção.
Ao modificar cuidadosamente o Stowaway, os invasores removeram funções desnecessárias e alteraram os tamanhos das estruturas, provavelmente em um esforço para contornar os sistemas de detecção baseados em assinaturas.
Uma ameaça persistente e em evolução
Grupos APT como Space Pirates operam com objetivos de longo prazo, frequentemente mantendo acesso a ambientes comprometidos por meses ou até anos. Sua capacidade de permanecerem indetectáveis enquanto expandem constantemente sua base destaca a importância do monitoramento contínuo de ameaças e defesas proativas de segurança cibernética.
À medida que as ameaças cibernéticas evoluem, as organizações devem adotar uma abordagem de segurança multicamadas, incluindo segmentação de rede, monitoramento de endpoint e avaliações regulares de vulnerabilidade. O uso de serviços de nuvem como o OneDrive para operações C2 também levanta preocupações sobre ferramentas de segurança tradicionais que falham em detectar ameaças ocultas em plataformas legítimas.
A campanha Erudite Mogwai dos Space Pirates é um lembrete claro de que nenhuma organização é imune à espionagem cibernética. Com malware avançado como o LuckyStrike Agent e ferramentas de hacking personalizadas, os grupos APT continuam a refinar suas táticas, tornando a detecção precoce mais crítica do que nunca. As empresas de TI russas — e as indústrias de alta tecnologia em todo o mundo — devem permanecer vigilantes contra essas ameaças furtivas e persistentes.
