Pesquisadores da Check Point divulgaram um relatório detalhando as atividades do Silver Dragon, um grupo hacker ligado à China que vem conduzindo ataques contra órgãos governamentais desde 2024. A campanha se destaca por usar o Google Drive como canal secreto de comunicação entre os sistemas infectados e os operadores do ataque — uma tática que camufla o tráfego malicioso dentro de um serviço amplamente confiável e raramente bloqueado em redes corporativas.
De acordo com os pesquisadores da divisão Check Point Research, há forte evidência de que o Silver Dragon atua sob influência do APT41, um dos grupos de espionagem cibernética mais conhecidos e frequentemente associado a operações ligadas ao governo chinês.
Phishing e falhas em servidores abrem caminho para a invasão
Os ataques começam principalmente por dois caminhos. O primeiro envolve a exploração de servidores expostos à internet que possuem vulnerabilidades conhecidas. O segundo utiliza campanhas de phishing enviadas por e-mail.
Nessas campanhas, as vítimas recebem mensagens contendo arquivos de atalho do Windows (.LNK). Quando o arquivo é aberto, uma sequência automatizada de comandos é executada silenciosamente. O atalho extrai e executa vários arquivos ocultos, enquanto um PDF é exibido como isca para não levantar suspeitas.
Enquanto a vítima acredita estar apenas visualizando um documento, o malware já está sendo instalado em segundo plano.
Malware se esconde dentro do próprio Windows
Depois de obter acesso inicial, o objetivo do grupo é garantir permanência no sistema comprometido. Para isso, os hackers utilizam dois carregadores de malware desenvolvidos internamente: BamboLoader e MonikerLoader.
Essas ferramentas descriptografam e executam o código malicioso diretamente na memória do computador, dificultando a detecção por soluções de segurança. Para manter o acesso após reinicializações, o grupo também sequestra serviços legítimos do Windows — como o serviço de atualização do sistema ou o Bluetooth — modificando-os para carregar automaticamente o malware no início do sistema.
O payload final instalado é um beacon do Cobalt Strike, ferramenta originalmente criada para testes de segurança ofensiva, mas frequentemente utilizada por cibercriminosos por meio de versões pirateadas.
A comunicação com os servidores dos invasores ocorre principalmente por meio de DNS tunneling, uma técnica que esconde dados dentro de consultas DNS aparentemente normais.
Backdoor transforma o Google Drive em centro de comando
O elemento mais sofisticado da operação é o GearDoor, um backdoor projetado para usar o Google Drive como infraestrutura de comando e controle.
Após infectar um computador, o malware se autentica em uma conta de serviço do Google e cria automaticamente uma pasta no Drive com um identificador único baseado no nome da máquina comprometida. Toda a comunicação entre o malware e os operadores ocorre através do upload e download de arquivos nessa pasta.
Cada tipo de arquivo indica uma ação diferente: arquivos .cab transportam comandos, arquivos .rar entregam novos componentes maliciosos e arquivos .7z ativam plugins executados diretamente na memória.
Todo o conteúdo trocado é criptografado, o que impede a leitura dos dados mesmo que o tráfego seja interceptado.
Entre as funções disponíveis estão execução remota de comandos, manipulação de arquivos, exfiltração de dados para o Drive e técnicas para obter privilégios administrativos dentro do sistema.
Os pesquisadores também observaram que o conjunto de comandos está em constante evolução, indicando desenvolvimento ativo da ferramenta.
Espionagem inclui captura de tela e acesso remoto
Além do backdoor principal, o Silver Dragon instala duas ferramentas adicionais nos sistemas comprometidos.
A primeira é o SilverScreen, um malware que captura imagens da tela da vítima periodicamente. Para reduzir o risco de detecção, o programa só salva capturas em resolução completa quando identifica mudanças visuais significativas em relação à imagem anterior.
A segunda ferramenta é o SSHcmd, utilitário que permite execução remota de comandos e transferência de arquivos utilizando o protocolo SSH. Os comandos podem ser enviados codificados em Base64, o que ajuda a evitar detecção por sistemas básicos de monitoramento.
Evidências apontam para origem chinesa
A atribuição do Silver Dragon a um ator ligado à China se baseia em diversos indicadores técnicos.
Um dos mais relevantes é a forte similaridade entre o script de instalação do BamboLoader e um código previamente atribuído ao APT41 em uma investigação publicada pela Mandiant em 2020.
A sequência de comandos utilizada para registrar uma DLL maliciosa como serviço do Windows é praticamente idêntica nos dois casos — um padrão que não aparece em amostras de malware associadas a outros grupos.
Além disso, os beacons do Cobalt Strike utilizados nas campanhas compartilham números de série de versões pirateadas historicamente ligadas a grupos chineses. A análise de metadados também mostrou que os horários de compilação dos arquivos seguem consistentemente o fuso UTC+8, correspondente ao horário padrão da China.
No fim das contas, a operação mostra como campanhas modernas de espionagem digital estão cada vez mais sofisticadas: em vez de depender apenas de servidores clandestinos, hackers agora transformam serviços legítimos da nuvem em infraestrutura invisível para conduzir ataques de longo prazo.
