Provedores de internet e entidades governamentais no Oriente Médio estão sendo alvos de um novo variante do malware EAGERBEE, também conhecido como Thumtais. Essa versão avançada apresenta recursos como manipulação de arquivos, execução remota de comandos e gerenciamento de conexões de rede, indicando um salto tecnológico significativo. Pesquisadores da Kaspersky relataram que o malware usa plugins modulares para realizar tarefas específicas, como listar processos, manipular serviços e acessar dados do sistema. O EAGERBEE foi atribuído ao grupo de ameaças CoughingDown, especializado em espionagem e patrocinado por estados.

Inicialmente documentado pela Elastic Security Labs, o EAGERBEE foi ligado ao grupo REF5961. Recentemente, uma versão mais sofisticada foi identificada em ataques conduzidos pelo Cluster Alpha, um grupo de origem chinesa que lidera a operação Crimson Palace. O objetivo é roubar segredos políticos e militares de organizações no Sudeste Asiático.

O EAGERBEE é projetado para operar na memória, tornando sua detecção mais difícil. Ele injeta código malicioso em processos legítimos e usa uma arquitetura modular que carrega componentes conforme necessário, reduzindo rastros no sistema. Em alguns ataques, a vulnerabilidade ProxyLogon (CVE-2021-26855) foi usada para acesso inicial, com web shells implantados para executar comandos e instalar o malware. Os pesquisadores destacam que essa abordagem furtiva dificulta a análise e amplia a ameaça para governos e setores críticos. O EAGERBEE demonstra o aumento da sofisticação das campanhas de ciberespionagem.