16 de maio de 2026

TencShell: novo implante atribuído a operadores chineses usa Rshell e mimetiza APIs da Tencent em ataque a fabricante

16 de maio de 2026

Pesquisadores do Cato CTRL identificaram um implante até então não documentado, derivado do framework open-source Rshell e batizado de TencShell, usado contra a filial indiana de uma multinacional de manufatura em abril de 2026. A operação encadeia shellcode Donut, recurso .woff falsificado e tráfego C2 que imita endpoints da Tencent.

Pesquisadores do Cato Networks Cyber Threats Research Lab (CTRL) descobriram um novo implante de malware sem documentação prévia, suspeito de estar ligado a operadores chineses, batizado de TencShell. A descoberta ocorreu durante a resposta a uma tentativa de intrusão contra a filial indiana de uma multinacional de manufatura em abril de 2026, e o implante combina capacidades de shell remoto baseadas no framework open-source Rshell com canais de comando e controle disfarçados para imitar serviços web da Tencent.

O que aconteceu

A equipe do Cato CTRL detectou tráfego suspeito associado a um usuário terceiro conectado ao ambiente de um cliente do setor de manufatura com presença em múltiplas regiões. O ataque foi contido antes que o adversário consolidasse o acesso, mas as artefatos coletados durante a análise revelaram um implante customizado escrito em Go e derivado do Rshell, framework offensive security publicamente disponível.

O nome TencShell foi atribuído pela combinação de duas características marcantes do malware: o uso de comandos no estilo shell típicos de ferramentas de C2 modernas e a comunicação com servidores externos por meio de URLs e endpoints que imitam padrões usados por serviços web da Tencent. Esse mimetismo serve a um propósito claro — fazer o tráfego malicioso parecer legítimo em ambientes corporativos que normalmente toleram chamadas a domínios e padrões associados a fornecedores asiáticos.

Embora a Cato CTRL aponte indicativos de origem chinesa — linhagem do Rshell, impersonação de APIs Tencent e padrões de infraestrutura compatíveis com clusters historicamente operados a partir da China — os pesquisadores reconhecem que a evidência “não é suficiente por si só” para atribuição definitiva.

Como o ataque funciona

A cadeia de infecção observada por Cato CTRL apresenta um nível de sofisticação considerável, encadeando técnicas de evasão modernas para reduzir a probabilidade de detecção pelas soluções de EDR comuns em ambientes corporativos. Em síntese, o ataque opera nas seguintes fases:

  • Um dropper de primeiro estágio inicia a execução no host vítima
  • Shellcode Donut é decodificado e executado em memória, sem tocar o disco
  • Um arquivo .woff (web font) falsificado serve como recurso disfarçado para entregar payload adicional
  • O implante TencShell é injetado em memória dentro de um processo legítimo
  • A comunicação com C2 imita o tráfego de APIs web associadas à Tencent

“Em vez de construir uma família de malware totalmente nova, o atacante adaptou ferramentas ofensivas disponíveis e tentou diluir a atividade no tráfego corporativo normal”, observaram os pesquisadores.

Uma vez instalado, o TencShell oferece ao operador um arsenal funcional completo herdado do Rshell: execução remota de comandos, gerenciamento de arquivos e processos, acesso a terminal, carregamento de módulos em memória, comunicação criptografada, proxy reverso e pivot para movimentação lateral. Em ambientes industriais com segmentação frouxa, esse conjunto de capacidades é suficiente para alcançar redes OT a partir de uma cabeça de ponte em TI corporativa.

Quem é afetado

  • Empresas de manufatura com operações multinacionais, especialmente com filiais na Índia e na Ásia-Pacífico
  • Organizações que dependem de fornecedores terceiros com acesso à rede corporativa
  • Ambientes industriais com convergência entre TI e OT sem segmentação rigorosa
  • Empresas que toleram tráfego não-inspecionado para domínios percebidos como legítimos de provedores asiáticos
  • Setores estratégicos historicamente alvo de grupos chineses: semicondutores, aeroespacial, automotivo, química, farmacêutico

Análise

O caso TencShell ilustra uma tendência consistente nos últimos dois anos: a barreira de entrada para conduzir intrusões sofisticadas caiu drasticamente. Atacantes — incluindo grupos com presumida ligação a Estado-nação — não precisam mais investir em desenvolvimento de malware proprietário do zero. Em vez disso, adaptam frameworks como Sliver, Mythic, Havoc, Brute Ratel e, agora, Rshell, somando uma camada fina de customização que muda assinatura, mas preserva capacidades.

Essa estratégia tem benefícios estratégicos para o atacante. Primeiro, complica a atribuição: ferramentas open source são usadas tanto por red teams legítimos quanto por adversários sofisticados, criando ruído analítico. Segundo, acelera o ciclo de operação — equipes pequenas conseguem adaptar e implantar implantes em dias, não meses. Terceiro, permite descartabilidade: se um implante é queimado, basta repetir o processo de customização sobre o framework base.

O paralelo histórico mais óbvio é o uso massivo de Cobalt Strike crackeado por grupos de ransomware ao longo de 2020-2023. A diferença é que, agora, a opção open source elimina até mesmo a necessidade de obter ferramentas comerciais piratas. Para defensores, isso significa que regras baseadas em assinatura de família de malware estão cada vez mais limitadas; o foco precisa migrar para detecção de comportamento e telemetria profunda em memória.

Recomendações práticas

  • Monitorar carregamento de shellcode em memória usando regras de AMSI, ETW e mecanismos de detecção comportamental do EDR
  • Inspecionar tráfego saindo de estações industriais para domínios externos — incluindo serviços percebidos como legítimos que não fazem parte do baseline operacional
  • Auditar acessos de terceiros e fornecedores conectados ao ambiente; aplicar princípio de least privilege e segmentação rigorosa
  • Bloquear ou inspecionar carregamento de recursos .woff e .woff2 originados de domínios desconhecidos em hosts internos
  • Mapear processos legítimos comumente alvejados para injection (rundll32.exe, regsvr32.exe, mshta.exe) e monitorar criação anômala de threads via APIs como CreateRemoteThread e QueueUserAPC
  • Implementar threat hunting baseado em comportamento de frameworks open source (Rshell, Sliver, Mythic) em vez de apenas IOCs estáticos
  • Para ambientes industriais: garantir segmentação rigorosa entre TI corporativa e OT, com inspeção de tráfego em todos os pontos de cruzamento

Fonte: Infosecurity Magazine

Matérias Relacionadas

Marketplace no Telegram industrializa o desbloqueio de iPhones roubados com kits de phishing e voz por IA

16 de maio de 2026

Turla evolui o backdoor Kazuar para botnet P2P modular voltada a espionagem de longo prazo

16 de maio de 2026

Suposto administrador do Dream Market é preso na Alemanha; DOJ acusa lavagem de US$ 2 milhões em ouro

15 de maio de 2026

Veja mais..

Marketplace no Telegram industrializa o desbloqueio de iPhones roubados com kits de phishing e voz por IA

16 de maio de 2026

TencShell: novo implante atribuído a operadores chineses usa Rshell e mimetiza APIs da Tencent em ataque a fabricante

16 de maio de 2026

Turla evolui o backdoor Kazuar para botnet P2P modular voltada a espionagem de longo prazo

16 de maio de 2026

Pwn2Own Berlin 2026: Dia 1 distribui US$ 523 mil e mostra IA corporativa como nova fronteira ofensiva

15 de maio de 2026

Suposto administrador do Dream Market é preso na Alemanha; DOJ acusa lavagem de US$ 2 milhões em ouro

15 de maio de 2026
Social Media Auto Publish Powered By : XYZScripts.com