Pesquisadores de cibersegurança divulgaram uma nova campanha que está potencialmente direcionada a usuários no Oriente Médio, utilizando um malware que se disfarça como a ferramenta de rede virtual privada (VPN) GlobalProtect, da Palo Alto Networks. Essa campanha representa uma ameaça significativa para as organizações visadas, dado que o malware é capaz de executar comandos remotos em PowerShell, baixar e exfiltrar arquivos, criptografar comunicações e contornar soluções de sandbox.

O pesquisador da Trend Micro, Mohamed Fahmy, explicou em um relatório técnico que o malware observado é sofisticado e opera em duas etapas, estabelecendo conexões com uma infraestrutura de comando e controle (C2) que se passa por um portal VPN corporativo. Essa estratégia permite que os invasores operem livremente sem disparar alertas, aumentando a complexidade de detecção. O vetor de intrusão inicial para a campanha ainda é desconhecido, mas há suspeitas de que envolva técnicas de phishing, onde os usuários são induzidos a acreditar que estão instalando o legítimo agente GlobalProtect.

Até o momento, a atividade não foi atribuída a um ator ou grupo de ameaças específico. O ponto de partida da infecção é um arquivo binário denominado setup.exe, que implanta o principal componente de backdoor chamado GlobalProtect.exe. Após a instalação, esse componente inicia um processo de beaconing que alerta os operadores sobre o progresso da infecção.