O Insikt Group descobriu uma nova infraestrutura ligada ao fornecedor israelense de spyware Candiru, agora operando sob a Saito Tech Ltd., destacando a implantação persistente de seu malware avançado DevilsTongue.
Utilizando a Recorded Future Network Intelligence, os pesquisadores identificaram oito clusters operacionais distintos, cada um exibindo variações no projeto e na administração da infraestrutura.
Isso inclui componentes voltados para a vítima para implantar e comandar o spyware, juntamente com sistemas de operador de nível superior.
Alguns clusters gerenciam diretamente as interfaces das vítimas, enquanto outros empregam camadas intermediárias ou aproveitam a rede Tor para ofuscação aprimorada.
Clusters ativos e mudanças corporativas
Cinco clusters são avaliados como altamente ativos, com conexões com entidades na Hungria e na Arábia Saudita.
Um cluster adicional ligado à Indonésia permaneceu operacional até novembro de 2024, e dois associados ao Azerbaijão mostram status incerto devido a elementos não confirmados voltados para a vítima.
Essa descoberta ressalta a resiliência da Candiru apesar das sanções internacionais, incluindo sua adição em 2021 à Lista de Entidades do Departamento de Comércio dos EUA e os esforços contínuos para evitar pressões regulatórias por meio da reestruturação corporativa.
O DevilsTongue, um malware modular do Windows desenvolvido em C e C++, apresenta mecanismos sofisticados de persistência, como sequestro de COM, em que substitui caminhos DLL legítimos no registro para injetar cargas úteis de diretórios disfarçados como C:Windowssystem32IME.
Ele incorpora drivers de modo kernel para acesso à memória e proxy de API, garantindo furtividade ao reinjetar DLLs originais e executar cargas descriptografadas apenas na memória.
Os recursos se estendem ao roubo de credenciais de LSASS e navegadores, extração de mensagens criptografadas do Signal e falsificação de identidade baseada em cookies em plataformas como Gmail e Facebook.
Sobreposições com kits de exploração como o CHAINSHOT, que explora zero-days em navegadores como o Chrome (por exemplo, CVE-2021-21166, CVE-2021-30551 e CVE-2022-2294), facilitam o acesso inicial via links de spearphishing, ataques de watering hole e vetores potencialmente baseados em anúncios, como o recurso Sherlock, que sequestra publicidade programática para infecções multiplataforma no Windows, Android e iOS.
Antecedentes da evolução de Candiru
Fundada em 2014 por Eran Shorer e Yaakov Weizmann, a Candiru passou por várias reformulações de marca da DF Associates Ltd. para Grindavik Solutions, Taveta Ltd. e, finalmente, Saito Tech Ltd. para manter o sigilo operacional em meio ao crescente escrutínio.
Apoiada por investidores ligados ao NSO Group, a empresa garantiu contratos multimilionários com governos da Europa, Oriente Médio, Ásia e América Latina, licenciando o Devil’s Tongue com base em infecções simultâneas, com níveis de preços que permitem expansões para dispositivos adicionais e alvos geográficos.
Propostas vazadas revelam restrições contra o uso em países como EUA, Rússia, China, Israel e Irã, mas as evidências mostram implantações nessas regiões, incluindo o direcionamento de ativistas catalães e usuários armênios por meio de Explorações de dia zero.
Uma suspeita de aquisição no início de 2025 pela Integrity Partners, com sede nos Estados Unidos, transferiu os ativos da Candiru para uma nova entidade, a Integrity Labs Ltd., potencialmente contornando as sanções.
Esse movimento se alinha com tendências mais amplas no mercado de spyware mercenário, onde os fornecedores inovam com cadeias mais furtivas, segmentação de backup em nuvem e ecossistemas profissionalizados.
As vítimas geralmente incluem indivíduos de alto valor, como políticos e jornalistas, comprometidos por meio de links maliciosos, documentos armados ou ataques MitM.
De acordo com o relatório, A proliferação de tais ferramentas estende os riscos para além da sociedade civil, impulsionados pelos elevados custos de implantação e pela evolução de táticas como infeções baseadas em anúncios e ataques do lado do servidor.
As defesas de curto prazo incluem patches de software rigorosos, busca de indicadores, separação de dispositivos e treinamento de segurança para combater vetores.
Estratégias de longo prazo exigem avaliações de risco adaptativas e monitoramento de ecossistemas. Apesar de iniciativas como as restrições de spyware da UE e o processo Pall Mall, a adaptabilidade do Candiru representa ameaças contínuas, exigindo regulamentações globais mais fortes para mitigar os riscos de privacidade e segurança.
The Ultimate SOC-as-a-Service Pricing Guide for 2025
–Baixe de graça