AO VIVO
01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises /// 01 APT28 explora 0-day MSHTML CVE-2026-21513 via arquivos LNK para burlar sandbox /// 02 Google confirma 0-day Android CVE-2026-21385 explorado ativamente no Brasil /// 03 Shadow Campaigns: APT28 opera infraestrutura paralela de C2 indetectável por 14 meses /// 04 Ransomware e hacktivismo disparam 2x na América Latina em 2025 /// 05 Malware com IA compromete 600+ firewalls FortiGate sem interação humana /// 06 GitLab SSRF CVE-2021-39935 volta a ser explorado em ambientes sem patch /// 07 LatAm Turning Point: PIX e Open Finance aceleram ataques financeiros digitais /// 08 América Latina registra 2x mais ataques cibernéticos em fevereiro de 2026 /// 09 Android Patch de Março corrige 100+ falhas incluindo 2 RCE críticas /// 10 APT28 usa CVE-2026-21509 para pivotamento cloud-to-on-premises ///
APT & Espionagem

Shadow Campaigns: APT28 Opera Infraestrutura Paralela de C2 Indetectável por 14 Meses

EQUIPE CYBERBOX THREAT INTEL · 08 de fevereiro de 2026 · 7 min de leitura

Pesquisadores da CYBERBOX Threat Intel identificaram uma infraestrutura de comando e controle (C2) paralela operada pelo APT28 que permaneceu completamente indetectável por aproximadamente 14 meses — de novembro de 2024 a janeiro de 2026. A operação, denominada internamente "Shadow Campaigns", utilizava técnicas avançadas de OPSEC que a tornavam virtualmente invisível para ferramentas tradicionais de monitoramento de rede.

A descoberta foi feita por correlação de padrões de certificação TLS e análise de timing de balizamento (beacon timing analysis) que revelou latências consistentes com roteamento via infraestrutura controlada pelo grupo.

Arquitetura da Infraestrutura

  • Camada 1 (Fachada) — Domínios legítimos de empresas comprometidas em 7 países, usados como primeiro ponto de contato
  • Camada 2 (Roteamento) — Instâncias cloud (Azure, AWS, GCP) com contas comprometidas via credential stuffing, atuando como proxies
  • Camada 3 (C2 Real) — Servidores dedicados em jurisdições sem tratados de assistência jurídica mútua com países ocidentais
"A sofisticação desta infraestrutura supera qualquer coisa que vimos do APT28 anteriormente. O uso de contas cloud comprometidas como camada de proxy torna a atribuição extremamente difícil e a detecção prática quase impossível sem telemetria cross-cloud."

— Equipe CYBERBOX Threat Intel

Técnicas de Evasão Identificadas

  • Domain Fronting via CDN — Tráfego de C2 roteado via Cloudflare, Fastly e Akamai, com SNI spoofado para domínios legítimos
  • Beacon Timing Adaptativo — Intervalo de balizamento ajustado dinamicamente com base no padrão de tráfego normal do ambiente vítima
  • Certificação TLS Personalizada — Certificados com campos que imitam CAs corporativas internas legítimas
  • Steganografia em Imagens — Comandos C2 ocultados em imagens PNG hospedadas em sites legítimos comprometidos

Alvos Confirmados

  • Ministérios de Relações Exteriores de países da América do Sul
  • Empresas de defesa e aeroespacial europeias com presença regional
  • Organizações intergovernamentais e think tanks de política internacional
  • Mídia e jornalismo investigativo com fontes governamentais

Recomendações de Detecção

  • Implementar análise de padrões de tráfego TLS (JA3/JA3S fingerprinting) em firewalls de próxima geração
  • Correlacionar logs de autenticação de contas cloud com localizações geográficas esperadas
  • Monitorar réplicas de domínios legítimos (typosquatting + look-alike domains)
  • Implementar Network Traffic Analysis (NTA) com baseline comportamental por usuário
MITRE ATT&CK — Técnicas Observadas
T1583 Acquire Infrastructure T1584 Compromise Infrastructure T1090.004 Domain Fronting T1102 Web Service C2 T1036.005 Match Legitimate Name or Location T1078.004 Cloud Accounts
Tags: APT28 Fancy Bear C2 infraestrutura OPSEC GRU espionagem MITRE ATT&CK
EQUIPE CYBERBOX THREAT INTEL
Threat Intelligence Team

Análises técnicas de ameaças cibernéticas, TTPs de grupos APT, vulnerabilidades críticas e tendências do cenário de ataques na América Latina e global.

Leia Também
APT & Espionagem
APT28 Explora 0-day MSHTML CVE-2026-21513 via Arquivos LNK
01 Mar 2026
APT & Espionagem
APT28 Usa CVE-2026-21509 para Pivotamento Cloud-to-On-Premises
09 Fev 2026
Malware
Malware com IA Compromete 600+ Firewalls FortiGate
20 Fev 2026