A FortiGuard Labs descobriu uma campanha sofisticada de malware direcionada a dispositivos críticos de infraestrutura de vários fornecedores, com a cepa de malware “GayFemboy” demonstrando técnicas avançadas de evasão e recursos de várias plataformas.
A campanha afeta as organizações globalmente, explorando vulnerabilidades em sistemas Draytek, TP-Link, Raisecom e Cisco para estabelecer infraestrutura persistente de botnet com acesso backdoor e ataque de negação de serviço distribuído (DDoS) recursos.
Ataque de vários fornecedores a infraestrutura crítica
A campanha de malware do GayFemboy se expandiu significativamente desde sua descoberta inicial por pesquisadores chineses de segurança cibernética, com o FortiGuard Labs rastreando atividades renovadas a partir de julho de 2025.
O malware tem como alvo uma ampla gama de dispositivos de infraestrutura de rede, incluindo roteadores da série Draytek Vigor, dispositivos TP-Link Archer AX21, Raisecom MSG Gateway Systems e Cisco Identity Services Engine (ISE).
Os vetores de ataque se originam de uma fonte consistente em 87[.]121[.]84[.]34, com distribuição de carga útil hospedada em 220[.]158[.]234[.]135.
A campanha demonstra alcance global, afetando organizações em todo o Brasil, México, Estados Unidos, Alemanha, França, Suíça, Israel e Vietnã.
Os setores direcionados incluem indústrias de fabricação, tecnologia, construção e comunicação de mídia. O malware explora mais de dez vulnerabilidades CVE diferentes, incluindo CVE-2020-8515, CVE-2023-1389, CVE-2024-7120, e o recentemente divulgado CVE-2025-20281 que afeta os sistemas Cisco ISE.
Evasão avançada de malware
GayFemboy se distingue do tradicional Variantes de Mirai por meio de mecanismos sofisticados de anti-análise e técnicas de ofuscação.
O malware modifica os cabeçalhos padrão da UPX, substituindo o reconhecível “UPX!” assinatura com valores hexadecimais não impressos para evitar a detecção.
Emprega convenções de nomenclatura específicas da arquitetura, atribuindo identificadores distintos como “Xale” para x86-64 e “Aale” para sistemas AARCH64, em vez de extensões de arquitetura Linux previsíveis.
O malware incorpora quatro módulos funcionais primários com recursos distintos:
- Monitor -Rastreia os threads e processos ao implementar técnicas de anti-análise, encerrar as ferramentas concorrentes de malware e segurança.
- Watchdog -Garante a persistência dos malware através da ligação da porta UDP e mecanismos de auto-monitoramento.
- Atacante – Lança ataques DDoS, incluindo inundação UDP, TCP Syn Flood e ICMP Inundal Capacity.
- Assassino -Aplica a autoproteção ao longo do tempo verifica e a funcionalidade de comando de Kill Remote.
A evasão de sandbox ocorre através de atrasos precisos com o tempo de 50 nanossegundos que causam períodos prolongados de sono em ambientes virtualizados.
A infraestrutura de comando e controle utiliza vários domínios, incluindo compilagem cruzada[.]Org, i-Kiss-Boys[.]com, e Furry-Femboys[.]Top, com a resolução DNS ignorando a filtragem local através de resolvedores públicos como 8.8.8.8.
O malware verifica sistematicamente 15 portas predefinidas em busca de comunicação C2, garantindo a conectividade, apesar das restrições de rede.
Fortinet revela medidas de proteção
Fortinet tem implementado Proteção de várias camadas contra a campanha GayFemboy por meio de serviços de fortigua.
As assinaturas de antivírus detectam o malware como Bash/Dloader.P! Tr, Bash/Agent.CSQ! Tr.DLDR, ELF/MIRAI.CSQ! TR e ELF/MIRAI.GFB! TR em FortiGate, FortiMail, Forticlient e Fortiedr.
Os serviços de filtragem da Web bloqueiam ativamente os domínios C2 identificados, enquanto as assinaturas do IPS fornecem proteção contra todas as vulnerabilidades exploradas.
As organizações devem priorizar o remendos imediatos de sistemas afetados e implementar o monitoramento abrangente de rede para a infraestrutura de comando e controle identificada.
Serviços de reputação de IP da FortiGuard bloqueiam proativamente fontes de ataque por meio de inteligência colaborativa de ameaças de parceiros de segurança global.
A empresa recomenda a conclusão de seus fundamentos certificados da Fortinet gratuitos treinamento em segurança cibernética para aprimorar a conscientização da segurança organizacional e os recursos de resposta a incidentes.
Indicadores de compromisso (COI):
| Tipo | Valor |
|---|---|
| IP | 141[.]11[.]62[.]222 |
| IP | 149[.]50[.]96[.]114 |
| IP | 220[.]158[.]234[.]135 |
| IP | 78[.]31[.]250[.]15 |
| IP | 5[.]182[.]206[.]7 |
| IP | 5[.]182[.]204[.]251 |
| Domínio | Compilagem cruzada[.]org |
| Domínio | I-Kiss-Boys[.]com |
| Domínio | Furry-femboys[.]principal |
| Domínio | twinkfinder[.]nl |
| Domínio | 3GIPCAM[.]com |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!