Uma campanha sofisticada descoberta em março de 2026 tem como alvo contas profissionais com privilégios elevados, usando SEO para atrair vítimas a repositórios GitHub fachada e, em seguida, redirecioná-las a repositórios ocultos que distribuem instaladores MSI maliciosos disfarçados de utilitários administrativos; o malware, identificado como uma variante de EtherRAT, é um RAT multiestágio escrito em JavaScript que usa AES-256-CBC, um motor AsyncFunction para execução remota e resolve dinamicamente seu servidor C2 consultando contratos inteligentes no Ethereum via endpoints RPC públicos, o que torna a infraestrutura extremamente resiliente e de difícil mitigação, e por isso há monitoramento e ações de takedown em andamento.
Em março de 2026 foi identificada uma campanha maliciosa sofisticada que mira contas profissionais com privilégios elevados, como administradores, engenheiros de DevOps e analistas de segurança.
A operação se baseia em uma combinação de envenenamento de resultados de busca, uma arquitetura de distribuição em duas etapas no GitHub e um mecanismo de C2 que resolve endereços via blockchain, garantindo alta resiliência.
O ataque começa com SEO poisoning em buscadores como Bing, Yahoo, DuckDuckGo e Yandex para posicionar repositórios GitHub fachada entre os primeiros resultados.
Essas fachadas do GitHub mostram um README profissional sem código malicioso, mas direcionam as vítimas a um segundo repositório oculto que contém o verdadeiro instalador.
Separar o repositório público otimizado para SEO do ponto de distribuição real permite que os atacantes alternem rapidamente contas de distribuição se forem sinalizadas, mantendo a vitrine indexada.
Os instaladores MSI maliciosos se disfarçam de utilitários administrativos populares, como PsExec, AzCopy, Sysmon, LAPS e Kusto Explorer, ferramentas normalmente usadas por profissionais com privilégios elevados.
Ao distribuir esse tipo de binário, os invasores automatizam o perfilamento das vítimas, pois esses utilitários atraem justamente quem tem ‘chaves da casa’ para ambientes corporativos.
O malware analisado é um RAT multiestágio escrito em JavaScript e entregue via instalador MSI, empregando um estilo fileless em partes de sua execução.
Ele usa criptografia em camadas AES-256-CBC para ocultar o payload, um motor baseado no construtor AsyncFunction para execução remota arbitrária e baixa ocupação de espaço ao não empacotar o Node.js.
Durante a infecção o Node.js é baixado em tempo de execução do site oficial, o que mantém o instalador enxuto, com cerca de 4,7 MB, mas exige acesso à internet.
O componente mais notável é o resolvedor de dead-drop baseado em blockchain: cada amostra contém o endereço de um contrato inteligente no Ethereum que é consultado via endpoints RPC públicos.
Consultando o contrato na blockchain, o malware recupera o endereço do servidor C2 ativo sem depender de domínios ou IPs codificados, permitindo que os operadores alterem a infraestrutura centralmente sem redeploy do malware.
Essa abordagem aproveita a persistência e a disponibilidade dos gateways públicos do Ethereum para aumentar a resistência a bloqueios e derrubadas de infraestrutura.
Como resultado, a campanha apresenta grande longevidade e dificulta medidas tradicionais de mitigação, especialmente porque foca ferramentas essenciais para administração de infraestrutura e explora uma cadeia de distribuição dúbia.
Atualmente a campanha segue ativa e monitoramentos e ações de takedown estão em andamento para neutralizar os canais de distribuição e reduzir a resiliência dos atacantes.
