Nova backdoor aumenta ataques de ciberespionagem no norte africano

No primeiro trimestre de 2023, o Norte de África registou o maior número de ciberataques semanais médios por organização, um total de 1.983. Agora, a Check Point Research identificou uma operação em curso contra alvos na região, que envolve uma backdoor chamada Stealth Soldier.

A rede de Comando e Controlo (C&C) do malware faz parte de um conjunto maior de infraestruturas, utilizadas, pelo menos em parte, para campanhas de spear-phishing contra entidades governamentais. Com base no observado nos temas dos websites de phishing e nas submissões do VirusTotal, a campanha parece ter como alvo organizações líbias.

Segundo os investigadores, há diferentes versões do Stealth Soldier e semelhanças entre esta operação e a Eye on the Nile, uma campanha de ataque anterior dirigida contra a região, que a Amnistia Internacional e a Check Point Research associaram a organismos apoiados pelo governo.

A investigação teve origem em vários ficheiros enviados para o VirusTotal a partir da Líbia entre os meses de novembro de 2022 e janeiro de 2023, com nomes em árabe. A análise dos ficheiros revela que todos eles são downloads de diferentes versões do mesmo malware, designado internamente por Stealth Soldier, que permite operações de vigilância e suporta funcionalidades como o registo de teclas e de capturas de ecrã e de microfone. As diferentes versões encontradas sugerem que o Stealth Soldier é mantido ativo desde janeiro de 2023.