Um grupo de ciberespionagem ligado a um Estado-nação desenvolveu uma nova versão do backdoor GoGra voltada para sistemas Linux, utilizando a API da Microsoft Graph e contas do Outlook como canal para envio de comandos maliciosos. A descoberta foi feita por equipes da Broadcom, incluindo a Symantec e a Carbon Black Threat Hunter Team, e marca uma evolução relevante nas táticas do grupo conhecido como Harvester.
A principal estratégia do malware é se esconder em meio ao tráfego legítimo. Para isso, ele utiliza credenciais do Azure AD embutidas no código para gerar tokens OAuth2 e acessar uma caixa de entrada de e-mail via Graph API. Esse método permite que o controle da máquina infectada aconteça por meio de infraestrutura confiável da própria Microsoft, dificultando a detecção por sistemas de segurança.
O funcionamento é curioso: o GoGra monitora constantemente uma pasta específica no e-mail chamada “Zomato Pizza”, buscando mensagens com o assunto iniciado por “Input”. Quando encontra, descriptografa o conteúdo (codificado em base64 com AES-CBC) e executa os comandos diretamente no sistema Linux. Após isso, apaga os e-mails para eliminar evidências e envia os resultados de volta ao atacante pelo mesmo canal.
A análise revelou que essa versão Linux compartilha praticamente o mesmo código da variante para Windows. Ambas utilizam as mesmas chaves criptográficas, lógica de comunicação e até apresentam erros idênticos, indicando que foram desenvolvidas pela mesma origem.
O grupo Harvester atua desde pelo menos 2021, focando principalmente em alvos no sul da Ásia. Amostras recentes do malware foram identificadas em dispositivos na Índia e no Afeganistão, reforçando o direcionamento regional da campanha. Além disso, o grupo já utilizava outras ferramentas semelhantes, como o backdoor Graphon, que também explora serviços da Microsoft para comunicação encoberta.
Até o momento, nenhuma vítima foi oficialmente confirmada. Ainda assim, os pesquisadores apontam que o uso de infraestrutura legítima como disfarce torna esse tipo de ataque especialmente perigoso, já que passa praticamente invisível em ambientes corporativos tradicionais.
