Campanha PassiveNeuron utiliza ferramentas avançadas para comprometer setores estratégicos e manter acesso persistente a redes corporativas
A Kaspersky identificou o reinício da campanha PassiveNeuron, uma operação de ciberespionagem com foco servidores Windows. O ataque atinge organizações dos setores governamental, financeiro e industrial, especialmente na América Latina. Ativo desde o final de 2024, o grupo utiliza ferramentas complexas para manter o controle total das redes invadidas de forma silenciosa.
O que é a campanha PassiveNeuron?
A PassiveNeuron é uma ameaça persistente (APT) que utiliza um conjunto de ferramentas customizadas — Neursite e NeuralExecutor — somadas ao conhecido Cobalt Strike. O objetivo principal é a coleta de dados e o controle remoto de infraestruturas críticas. A campanha se destaca pelo uso de caracteres cirílicos no código para confundir analistas, embora evidências apontem para atores que falam chinês.
Como os hackers invadem os servidores Windows?
A invasão ocorre, majoritariamente, pela exploração de servidores expostos à internet. Uma vez dentro, os atacantes utilizam o Neursite para gerenciar processos e redirecionar o tráfego de forma lateral. O NeuralExecutor funciona como um backdoor modular, permitindo a instalação de componentes maliciosos adicionais conforme a necessidade dos invasores, garantindo que a ameaça permaneça indetectável.
Por que os servidores são alvos estratégicos?
Os servidores são considerados o “coração” das operações corporativas, concentrando dados sensíveis e acessos privilegiados. Sobre essa vulnerabilidade, Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, afirma que “o PassiveNeuron se destaca por seu foco no comprometimento de servidores que, por muitas vezes, são a espinha dorsal das organizações. Os servidores expostos à Internet são alvos especialmente atraentes para grupos de ameaças persistentes avançadas (APTs), pois um único host comprometido pode dar acesso a sistemas críticos.”
Como proteger sua empresa da ciberespionagem?
A proteção contra a ciberespionagem em servidores Windows exige uma estratégia de defesa em profundidade, com foco em visibilidade e resposta rápida:
-
Implementação de EDR: Soluções de Endpoint Detection and Response para neutralizar ataques rapidamente nos dispositivos.
-
Monitoramento de Rede: Uso de plataformas que identifiquem ataques avançados e movimentações laterais antes que causem danos.
-
Inteligência de Ameaças: Acesso a dados atualizados (Threat Intelligence) para antecipar movimentos de grupos cibercriminosos.
-
Treinamento de Equipe: Conscientização contra phishing e engenharia social para fechar as portas de entrada iniciais.