TinyRCT: backdoor inédita de grupo chinês atinge infraestrutura crítica no Sudeste Asiático

Resumo: a Unit 42, da Palo Alto Networks, descreveu uma campanha sustentada do grupo chinês CL-STA-1062 contra órgãos de governo e empresas estatais de energia no Sudeste Asiático. O destaque é o TinyRCT, uma backdoor inédita com mecanismo de autodestruição, captura de tela, execução remota e enumeração de arquivos. A Unit 42 avalia, com “alta confiança”, que se trata do mesmo cluster identificado pelo Cisco Talos como UAT-7237 — ativo desde 2022 e responsável por pelo menos dez comprometimentos confirmados entre outubro e dezembro de 2025.

O que aconteceu

Em relatório publicado em 25 de junho, a Unit 42 detalha mais de três anos de operações coordenadas. O cluster CL-STA-1062 — observado desde março de 2022 — virou o foco para empresas de energia e governos de países do Sudeste Asiático ao longo de 2025. A escolha de alvos não é trivial: estatais de energia e órgãos federais são, segundo a Unit 42, vetores deliberados de “interesse geopolítico ou econômico significativo”.

O TinyRCT é a peça mais nova e perigosa do arsenal. Trata-se de uma backdoor previamente não documentada, desenhada para garantir acesso persistente e controle remoto stealthy nos sistemas comprometidos. A Unit 42 confirma a presença do TinyRCT em pelo menos três entidades de infraestrutura crítica em um país (não nomeado) do Sudeste Asiático, incluindo duas estatais de energia.

Anatomia do toolkit híbrido

O CL-STA-1062 combina ferramentas open-source amplamente conhecidas com malware customizado — um padrão recorrente em grupos APT chineses. Entre os utilitários públicos detectados, a Unit 42 cita o SoftEther VPN como tunelador para comunicações persistentes, o Mimikatz para extração de credenciais da memória (LSASS), além de utilitários de proxy e movimento lateral. O lado customizado fica por conta do TinyRCT e variantes históricas usadas em campanhas anteriores do grupo.

O comportamento operacional do TinyRCT é o que mais chama atenção:

• Execução arbitrária de comandos mediada por canal C2 stealthy, com tráfego desenhado para se misturar a fluxos legítimos do host.
• Enumeração e exfiltração de arquivos — busca seletiva por documentos sensíveis, propriedade intelectual e dossiês operacionais.
• Captura de tela sob demanda, dando ao operador visibilidade direta da atividade do alvo.
• Mecanismo de autodestruição: a backdoor consegue apagar a si mesma e remover artefatos do host, complicando forense e Incident Response.
• Persistência discreta via técnicas que evitam padrões comuns de detecção em EDRs comerciais.

O TinyRCT é particularmente preocupante por seu design furtivo e mecanismo de autodestruição. A backdoor permite que os atacantes mantenham persistência ao mesmo tempo em que evitam detecção, e pode se apagar quando necessário para cobrir rastros.

Unit 42, Palo Alto Networks

Atribuição e alcance regional

A Unit 42 amarra o CL-STA-1062 com alta confiança ao UAT-7237, cluster reportado pelo Cisco Talos por atacar infraestrutura de hospedagem web em Taiwan em meados de 2025. A ponte entre os dois trabalhos amplia o mapa: o mesmo operador estaria circulando por governos no Sudeste Asiático, telecoms, energia e provedores de hosting em Taiwan — uma postura compatível com uma campanha de espionagem cibernética persistente, voltada a coleta de inteligência estratégica e a posicionamento prévio em ativos críticos.

Entre outubro e dezembro de 2025, a Unit 42 estima ao menos dez organizações comprometidas em paralelo no Sudeste Asiático. A operacionalidade observada desde 2022 sugere um esforço coordenado e duradouro, com renovação periódica do arsenal sob medida — TinyRCT é provavelmente apenas a iteração mais recente de uma linha de backdoors customizadas.

Análise: o jogo é “pre-positioning”, não roubo de cartão

A combinação alvo + ferramentas reflete um padrão que se consolidou após o caso Volt Typhoon (2023-2024): grupos estatais chineses passaram a misturar Living-off-the-Land (utilitários nativos do Windows e Linux), proxies open-source e backdoors customizadas curtas, otimizando furtividade em vez de capacidade ofensiva imediata. O objetivo não é “ganhar dinheiro” nem “vazar dados sensacionais” — é manter uma posição de acesso a longo prazo em redes que controlam energia, telecomunicações e funções governamentais.

O ingrediente novo do TinyRCT é o autodestrutor. Em CTI ofensiva, essa é a feature que separa um malware de comoditie de um tradecraft de inteligência: se a backdoor pode apagar a si mesma, o operador pode encerrar uma operação inteira deixando o defensor sem amostra para análise estática. Esse design força times de DFIR a mudarem postura — coletar memória ao vivo (memory dump) e telemetria EDR em tempo real, sem esperar pelo artefato em disco.

Para o Brasil, vale o paralelo: o setor elétrico nacional (ONS, distribuidoras, geração) e operadores de telecom têm exatamente o mesmo perfil de alvo. A presença pública de OT e a interconexão crescente com Microsoft 365/SaaS criam superfícies de ataque que grupos chineses, russos e norte-coreanos têm tratado como áreas legítimas de “pre-positioning” há anos. Espera-se ver crescente interesse de grupos APT em estatais regionais durante 2026.

Recomendações práticas

• Caça por SoftEther VPN. A presença de SoftEther em ambiente corporativo (sem ser um uso autorizado de TI) é alto sinal. Faça hunting por vpnclient_x64.exe, vpnserver.exe e por conexões saindo para portas TCP 443/992/5555 a destinos atípicos.
• Detecte execução de Mimikatz e variantes. Habilite WDAC/AppLocker, monitore acessos a lsass.exe, e considere Credential Guard. Logs do Sysmon (event 10 com targetImage=lsass.exe) são essenciais.
• Memory forensics como prioridade. Como o TinyRCT pode se autodestruir, capture memory dumps em hosts suspeitos antes de qualquer tentativa de remediação. Ferramentas como Volatility, MemProcFS e Velociraptor são aliadas.
• Segmente OT/IT. Estatais e operadores de infraestrutura crítica devem garantir que o TI corporativo não tenha rota direta para zonas OT. Aplique o modelo Purdue, com firewalls inspeção L7 entre os níveis.
• Threat hunting baseado em comportamento, não em IoC. Como o grupo recicla técnicas mas troca infraestrutura, foque em padrões: criação de túneis SoftEther, modulos suspeitos carregados via rundll32, processos efêmeros que coletam screenshots, persistência via tasks agendadas em horários atípicos.
• Plano de resposta para suspeita de espionagem persistente. Não corte imediatamente: muitas vezes o instinto é “limpar e seguir”, mas em campanhas APT o ideal é coletar inteligência primeiro (com apoio de CSIRT ou retainer DFIR), entender o escopo e só depois conduzir uma erradicação coordenada.

Fonte: Infosecurity Magazine.