Os agentes de ameaças aproveitaram as técnicas de envenenamento de SEO para manipular os resultados de pesquisa do Bing, direcionando os usuários que consultam “ManageEngine OpManager” para um domínio malicioso, opmanager[.]pró.
Este site distribuiu um instalador MSI trojanizado chamado ManageEngine-OpManager.msi, que implantou secretamente o carregador de malware Bumblebee durante a instalação de software legítimo.
O Bumblebee, identificado pela primeira vez no final de 2021 como uma ferramenta de acesso inicial associada a atores como EXOTIC LILY e TA578, utiliza uma string de agente de usuário exclusiva e geralmente é entregue por meio de arquivos ISO contendo DLLs com carregadores personalizados.
Surgimento da campanha de envenenamento de SEO
Nesse caso, o malware foi incorporado ao msimg32.dll e executado por meio de consent.exe, estabelecendo comunicações de comando e controle (C2) com domínios gerados dinamicamente por meio de um algoritmo de geração de domínio (DGA).
Esse ressurgimento ecoa relatórios anteriores, incluindo uma análise do Cyjax de maio de 2025 de envenenamento semelhante baseado no Bing que se faz passar por ferramentas de TI e se alinha com a evolução do Bumblebee em direção a estruturas modulares semelhantes ao TrickBot, conforme observado na pesquisa da ESET de 2022.
O direcionamento da campanha a administradores de TI privilegiados em busca de software de gerenciamento de rede facilitou o rápido escalonamento, com o Bumblebee buscando cargas úteis como o Cobalt Strike ou, neste caso, levando a Akira ransomware implantação.
A confirmação do CSIRT B2B da Swisscom de uma intrusão paralela por meio de um Advanced-IP-Scanner.msi trojanizado ressalta ainda mais a amplitude da campanha, afetando várias organizações e resultando em métricas rápidas de tempo para ransomware (TTR), variando de nove horas no caso da Swisscom a 44 horas no incidente observado.
Análise detalhada de intrusão
De acordo com o relatório, após a execução, a carga útil do Bumblebee iniciou o C2 com endereços IP como 109.205.195[.]211 e 188.40.187[.]145 usando domínios DGA como ev2sirbd269o5j.org.
Em poucas horas, ele implantou um beacon AdaptixC2 (AdgNsy.exe) para C2 adicional para 172.96.137[.]160, permitindo o reconhecimento interno por meio de comandos como systeminfo, nltest /dclist: e net group domain admins /dom.
Os agentes de ameaças criaram contas privilegiadas (por exemplo, backup_EA) e escalaram privilégios, movendo-se lateralmente para controladores de domínio via RDP para despejar NTDS.dit usando wbadmin.exe para extração de credenciais.
A persistência foi alcançada por meio de instalações do RustDesk, enquanto um túnel reverso SSH para 193.242.184[.]150 proxied mais atividade.
A descoberta envolveu a implantação de um scanner de rede (n.exe) SoftPerfect renomeado e a consulta da Veeam Bancos de dados PostgreSQL com psql.exe para credenciais armazenadas.
A exfiltração de dados ocorreu via FileZilla SFTP para 185.174.100[.]203, precedido pelo despejo LSASS usando rundll32.exe com comsvcs.dll em vários hosts.
A intrusão culminou na implantação do ransomware Akira (locker.exe), criptografando domínios raiz e filho com opções direcionadas a unidades locais e compartilhamentos de rede.
Essa sequência destaca o papel do Bumblebee nos ecossistemas pré-ransomware, conforme documentado em análises históricas da Proofpoint e da Microsoft, onde se sobrepõe a ferramentas como Sliver e Conti.
Para detecção, as organizações devem procurar execuções MSI anômalas de diretórios de usuário que geram consent.exe, invocações de comando com letras maiúsculas e minúsculas para evasão e sequências de enumeração rápidas.
As regras comportamentais que correlacionam as instalações do MSI com a descoberta, o acesso a credenciais e o movimento lateral em 24 horas podem melhorar a busca de ameaças, enquanto o monitoramento de padrões de DGA e tunelamento SSH fornece defesa proativa contra esses agentes de acesso inicial.
Indicadores de Comprometimento (IOCs)
| Categoria | Indicador | Descrição |
|---|---|---|
| Domínios | ev2sirbd269o5j.org | Domínio Bumblebee DGA |
| Domínios | 2rxyt9urhq0bgj.org | Domínio Bumblebee DGA |
| Domínios | gerenciador de operações[.]pró | Site malicioso para instalador trojanizado |
| Domínios | angryipscanner.org | Site malicioso para instalador trojanizado |
| Domínios | axiscamerastation.org | Site malicioso para instalador trojanizado |
| Domínios | scanner ip[.]Org | Site malicioso para instalador trojanizado |
| Endereços IP | 109.205.195[.]211 | Abelha C2 |
| Endereços IP | 188.40.187[.]145 | Abelha C2 |
| Endereços IP | 172.96.137[.]160 | AdaptixC2 C2 |
| Endereços IP | 170.130.55[.]223 | AdaptixC2 C2 |
| Endereços IP | 193.242.184[.]150 | Host de túnel SSH |
| Endereços IP | 83.229.17[.]60 | Host de túnel SSH |
| Endereços IP | 185.174.100[.]203 | Servidor de exfiltração SFTP |
| Hashes de arquivo | 186b26df63df3b7334043b47659cba4185c948629d857d47452cc1936f0aa5da | ManageEngine-OpManager.msi (instalador malicioso) |
| Hashes de arquivo | a14506c6fb92a5af88a6a44d273edafe10d69ee3d85c8b2a7ac458a22edf68d2 | Advanced-IP-Scanner.msi (instalador malicioso) |
| Hashes de arquivo | a6df0b49a5ef9ffd6513bfe061fb60f6d2941a440038e2de8a7aeb1914945331 | msimg32.dll (abelha) |
| Hashes de arquivo | 6ba5d96e52734cbb9246bcc3decf127f780d48fa11587a1a44880c1f04404d23 | msimg32.dll (abelha) |
| Hashes de arquivo | de730d969854c3697fd0e0803826b4222f3a14efe47e4c60ed749fff6edce19d | locker.exe (Akira ransomware) |
| Hashes de arquivo | 18b8e6762afd29a09becae283083c74a19fc09db1f2c3412c42f1b0178bc122a | win.exe (Akira ransomware) |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça