Pesquisadores de cibersegurança identificaram um novo backdoor desenvolvido em Golang, que utiliza a API do Telegram Bot como um mecanismo de comunicação para comando e controle (C2). De acordo com a Netskope Threat Labs, que analisou o malware, há indícios de que ele seja de origem russa. O malware, apesar de ainda estar em desenvolvimento, já é totalmente funcional. Ao ser executado, ele verifica se está rodando em um diretório específico (“C:\Windows\Temp\svchost.exe”) e, caso contrário, copia a si mesmo para esse local, inicia uma nova instância e encerra o processo original.

Seu diferencial é a integração com o Telegram, permitindo que os atacantes enviem e recebam comandos de forma furtiva por meio de um chat controlado por hackers. O resultado dos comandos executados é enviado de volta ao canal do Telegram, permitindo que os atacantes controlem remotamente sistemas comprometidos sem depender de infraestrutura tradicional de C2, que pode ser mais facilmente detectada e bloqueada. Outro indicativo de que o malware tem origens russas é o fato de que o comando “/cmd” exibe a mensagem “Digite o comando:” em russo no chat de controle.

Segundo os pesquisadores, o uso de aplicativos em nuvem como o Telegram torna a detecção mais difícil para equipes de segurança, já que esses serviços são amplamente utilizados por usuários legítimos e não costumam ser bloqueados por redes corporativas. A descoberta desse backdoor avançado reforça o desafio crescente de combater malwares que utilizam serviços legítimos para se esconder, exigindo novas abordagens para detecção e mitigação de ataques baseados em comunicação na nuvem.