Por que é que os ataques baseados em LNK continuam a passar despercebidos
No final de 2025, a Arctic Wolf Labs publicou um estudo sobre uma campanha de espionagem dirigida a entidades diplomáticas na Bélgica, na Hungria e noutros países europeus. O agente malicioso, um grupo ligado à China identificado como UNC6384, utilizou e-mails de spearphishing para distribuir atalhos do Windows com código malicioso, ou ficheiros LNK, com temas relacionados com reuniões legítimas da Comissão Europeia e workshops relacionados com a OTAN.
Quando um destinatário clicava no atalho, um comando oculto do PowerShell iniciava uma cadeia de infeção em várias etapas que, por fim, instalava o trojan de acesso remoto PlugX. A campanha explorou a vulnerabilidade ZDI-CAN-25373, uma falha nos atalhos do Windows divulgada em março de 2025 que permite a execução dissimulada de comandos, ocultando-os por meio de preenchimento com espaços em branco nos argumentos da linha de comando de um ficheiro LNK.
A forma como o UNC6384 o utilizou veio recordar um problema mais abrangente: os ficheiros de atalho continuam a parecer algo rotineiro para os utilizadores e, muitas vezes, são alvo de menos atenção do que os executáveis ou os documentos com macros ativadas. Assim que um LNK malicioso é executado, a atividade mais perigosa desenrola-se frequentemente em tempo de execução através de scripts codificados, arquivos em fases e abuso de binários assinados, áreas em que a análise estática e as verificações de reputação podem ter dificuldade em acompanhar a evolução.
Desde então, a campanha não parou de evoluir. Em abril de 2026, o The Hacker News noticiou que o mesmo grupo de ameaças, conhecido no setor como TA416, tinha retomado os ataques contra organizações governamentais e diplomáticas europeias a partir de meados de 2025, recorrendo a novos métodos de entrega, incluindo o abuso de redirecionamentos OAuth, páginas de desafio do Cloudflare Turnstile e execução baseada em MSBuild, ao mesmo tempo que continuava a atualizar a sua carga útil PlugX.
A investigação da Arctic Wolf analisada neste artigo capta uma fase do que é hoje uma operação documentada e em curso, e demonstra como MetaDefender e a tecnologia Deep CDR™, em conjunto, colmatam a lacuna entre a deteção e a prevenção.
A cadeia de ataques do UNC6384
Tudo começou com um ficheiro que a maioria dos utilizadores nunca questionaria. O ficheiro LNK distribuído nesta campanha, denominado «Agenda_Meeting 26 Sep Brussels.lnk», tinha apenas 2,58 KB e fazia referência a uma reunião real da Comissão Europeia sobre a facilitação da livre circulação de mercadorias nos pontos de passagem fronteiriços entre a UE e os Balcãs Ocidentais. Tratava-se da agenda real de um evento real, com um atalho que parecia totalmente normal.
Fase 1: Acesso inicial através de um ficheiro LNK malicioso
Quando o destinatário clicava duas vezes no atalho, este iniciava silenciosamente o PowerShell com um comando ofuscado que descodificava e extraía um arquivo tar (rjnlzlkfe.ta) para o diretório Temp local do utilizador. O comando do PowerShell utilizava então o tar.exe para descomprimir o arquivo e executar o seu conteúdo, abrindo simultaneamente um PDF de isco que mostrava a agenda real da reunião. A vítima via um documento. O atacante conseguia a execução de código.
Fase 2: Carregamento lateral de DLL através de um ficheiro binário legítimo e assinado
O arquivo extraído continha três ficheiros: cnmpaui.exe, cnmpaui.dll e cnmplog.dat. O primeiro é um utilitário legítimo do assistente de impressoras da Canon, assinado digitalmente pela Canon Inc. com um certificado emitido pela Symantec. A assinatura é válida porque foi carimbada com data e hora enquanto o certificado ainda estava ativo, o que significa que o Windows continua a confiar no ficheiro binário, apesar de o próprio certificado ter expirado em 2018 (Arctic Wolf).
É aqui que a precisão faz a diferença. O ficheiro EXE não é malicioso. Trata-se de um utilitário legítimo da Canon que está a ser utilizado indevidamente para um fim específico: quando o cnmpaui.exe é executado, procura o ficheiro cnmpaui.dll no seu próprio diretório antes de verificar os caminhos do sistema. Ao colocar uma DLL maliciosa com o mesmo nome ao lado do binário legítimo, o UNC6384 desviou essa ordem de pesquisa e carregou o seu próprio código dentro de um processo de confiança.
Fase 3: Descriptografia da carga útil e execução do PlugX
O ficheiro malicioso cnmpaui.dll é um carregador leve, com apenas 4 KB na variante de outubro de 2025, concebido para fazer uma única coisa: descodificar e executar o terceiro ficheiro, cnmplog.dat. Esse ficheiro é um blob encriptado com RC4 que contém o trojan de acesso remoto PlugX. O carregador descodifica-o utilizando uma chave de 16 bytes codificada e mapeia a carga útil resultante diretamente no espaço de memória do processo legítimo cnmpaui.exe.
A partir desse momento, o PlugX passa a ser executado dentro de um ficheiro binário assinado e de confiança. Estabelece persistência através de uma chave Run do registo denominada «CanonPrinter», cria diretórios ocultos com nomes como «SamsungDriver» ou «DellSetupFiles» para se misturar no ambiente e comunica com a infraestrutura de comando e controlo através de HTTPS na porta 443, utilizando caminhos de URL aleatórios e uma string de agente de utilizador do Internet Explorer falsificada para se misturar com o tráfego normal da Web.
Desde o primeiro clique até à ativação de uma porta traseira, nada nesta cadeia parecia abertamente malicioso à primeira vista, e a maior parte do comportamento verdadeiramente suspeito só se manifestava durante a execução. Cada fase foi concebida para parecer normal numa inspeção estática e para ser executada em locais onde os filtros tradicionais não procuravam.
Por que é que as defesas estáticas têm dificuldade com esta cadeia
As defesas estáticas têm dificuldade em lidar com esta cadeia porque cada etapa foi concebida para parecer inofensiva quando considerada isoladamente. O que torna a campanha eficaz não é um único ficheiro manifestamente malicioso, mas sim uma sequência de componentes com aparência fiável, cuja verdadeira intenção só se torna visível durante a execução. Este padrão não se limita aos ficheiros de atalho: os atacantes também têm ocultado cargas maliciosas em ficheiros de imagem aparentemente inofensivos e combinado-as com a distribuição baseada em LNK para contornar a deteção dos antivírus tradicionais.
Por que é que as defesas estáticas têm dificuldade com esta cadeia
| Palco | O que o Defensor vê | Por que é que passa na inspeção |
|---|---|---|
| LNK malicioso | Um ficheiro de atalho com 2,58 KB que faz referência a uma reunião diplomática | Os ficheiros LNK são, por predefinição, de baixo risco; o ZDI-CAN-25373 oculta o comando PowerShell por trás de preenchimento com espaços em branco que a maioria dos verificadores de metadados não analisa. |
| Assinado pela Canon EXE | Um ficheiro binário PE32 legítimo com uma assinatura digital válida e com data e hora, proveniente de um editor reconhecido | Bloqueá-lo faria com que todos os ambientes que executam o software da impressora Canon fossem sinalizados. Os mecanismos de reputação não têm motivos para desconfiar dele. |
| DLL de carregamento de 4 KB | Uma DLL minimalista, sem importações manifestamente suspeitas, cuja única função é ler, descodificar e passar o controlo de execução | As regras do YARA conseguem detetar variantes conhecidas, mas um carregador recompilado com uma chave ou rotina de descodificação diferente consegue escapar à cobertura estática. |
| Carga útil encriptada do PlugX | Um bloco .dat opaco que nunca chega a ser gravado no disco na sua forma descodificada | A análise baseada em ficheiros nunca inspeciona o malware propriamente dito. A carga útil é carregada diretamente no espaço de memória do processo confiável da Canon. |
É nessa lacuna entre o que as ferramentas estáticas conseguem inspecionar e o que realmente acontece em tempo de execução que as campanhas evasivas prosperam. Para colmatá-la, é necessária uma abordagem de deteção capaz de observar todo o percurso de execução, desde o lançamento inicial do ficheiro até todas as etapas subsequentes, e emitir um veredicto com base no comportamento, em vez de na aparência.
Como MetaDefender revela toda a cadeia
MetaDefender é a solução unificada de deteção de ameaças de dia zero OPSWAT, que combina quatro camadas de análise para inspecionar cada ficheiro sob vários ângulos antes de emitir um único veredicto fiável.
- A análise da reputação de ameaças compara os hash, os metadados e os indicadores incorporados do ficheiro com informações globais extraídas de mais de 50 mil milhões de indicadores. Nesta cadeia, isso ajuda a identificar o que já é conhecido e a contextualizar o que ainda não o é.
- Adaptive executa então o ficheiro num ambiente emulado e observa a sequência de execução: o ficheiro LNK a iniciar o PowerShell, o comando codificado a descodificar um arquivo tar, o binário assinado da Canon a carregar uma DLL não assinada e a carga útil descodificada do PlugX a estabelecer persistência e a estabelecer contacto com a infraestrutura C2 (comando e controlo).
- A pontuação de ameaças combina esses resultados, sinais de reputação e indicadores extraídos numa pontuação de risco ponderada que tem em conta todo o contexto comportamental.
- A pesquisa de semelhanças baseada em ML compara o ficheiro e o seu comportamento com famílias de malware conhecidas e atividades relacionadas, ajudando a identificar ligações a variantes do PlugX ou a campanhas semelhantes de sideloading de DLL.
Em conjunto, o pipeline oferece uma eficácia de deteção de vulnerabilidades «zero-day» de até 99,9% e apresenta um único veredicto fiável por ficheiro, em vez de obrigar os analistas do SOC a conciliar manualmente relatórios separados. Isto é importante quando as equipas têm de avaliar centenas de ficheiros por dia em e-mail, MFT, ICAP, quiosques, armazenamento e fluxos de trabalho entre domínios.
Um fator diferenciador fundamental nesta cadeia é a emulação ao nível da instrução. As sandboxes tradicionais baseadas em máquinas virtuais podem não detetar malware que recorra a técnicas de evasão de máquinas virtuais, atrasos de temporização e verificações do ambiente para evitar a execução completa. A sandbox adaptativa MetaDefender emula o comportamento da CPU e do sistema operativo ao nível da instrução, o que ajuda a revelar toda a sequência de sideloading de LNK para PowerShell e para DLL.
Para as equipas de SOC, a vantagem é prática:
- Triagem mais rápida, uma vez que o veredicto já está correlacionado e mapeado segundo o MITRE
- Decisões de bloqueio mais rigorosas, uma vez que o veredicto reflete o comportamento em tempo de execução, em vez de se basear apenas na reputação estática
- Redução dos falsos positivos, uma vez que MetaDefender consegue distinguir entre um ficheiro binário legítimo e assinado que está a ser utilizado indevidamente e uma carga verdadeiramente maliciosa
- Melhor preparação para ataques «zero-day» em todos os pontos de entrada de ficheiros por onde estes ataques penetram no ambiente
Como a tecnologia Deep CDR™ neutraliza o gatilho
A tecnologia Deep CDR™ interrompe esta cadeia antes mesmo de ela começar, neutralizando o ficheiro que desencadeia todo o processo. Enquanto MetaDefender revela o que um ficheiro malicioso faz durante a execução, a tecnologia Deep CDR™ ajuda a garantir que o ficheiro nunca tenha a oportunidade de ser executado.
Este mecanismo é específico do modo como funcionam os ataques baseados em LNK. Um atalho malicioso contém a sua intenção maliciosa em argumentos de linha de comando incorporados; neste caso, trata-se da invocação codificada do PowerShell que descodifica o arquivo tar e inicia a cadeia de carga útil. A tecnologia Deep CDR™ identifica esse comando incorporado e substitui-o por um comando fictício inofensivo, preservando o atalho numa forma sanitizada e removendo a sua capacidade de funcionar como um gatilho de ataque.
O resultado é um fluxo de trabalho LNK higienizado, no qual o comportamento malicioso original é neutralizado antes da execução. Sem execução do PowerShell, sem extração de arquivos compactados, sem sideloading de DLLs, sem PlugX. Em conjunto, MetaDefender e a tecnologia Deep CDR™ criam um modelo de defesa de duas camadas.
Modelo de defesa em duas camadas
| Camada | Tecnologia | Papel |
|---|---|---|
| Detetar e compreender | MetaDefender | Executa o ficheiro, revela todo o percurso de execução em várias etapas, extrai indicadores de comportamento (IOCs) e apresenta um único veredicto fiável. |
| Desarmar e prevenir | Tecnologia Deep CDR™ | Neutraliza o comando LNK malicioso, impedindo que o atalho seja executado. |
Essa distinção é importante na prática. MetaDefender é a solução de deteção de ameaças de dia zero para ficheiros que requerem uma análise aprofundada, especialmente quando o objetivo é compreender o comportamento em tempo de execução e chegar a uma conclusão fiável. A tecnologia Deep CDR™ é o mecanismo de sanitização e prevenção para ficheiros cujo conteúdo pode ser neutralizado com segurança, sem comprometer a utilização legítima. Em conjunto, abrangem os dois aspetos do problema: compreender o que uma ameaça faz e garantir que nunca tenha oportunidade de o fazer.
Por que é que a precisão é importante
A precisão é importante porque nem todos os ficheiros numa cadeia de ataque são maliciosos, e tratá-los todos da mesma forma leva a uma deteção excessivamente abrangente que mina a confiança nas suas ferramentas. Esta campanha deixa isso bem claro.
O utilitário assinado da impressora Canon (cnmpaui.exe) é um ficheiro binário legítimo. Possui uma assinatura digital válida, uma reputação impecável e um hash associado a software legítimo. Assinalá-lo como malicioso geraria falsos positivos em ambientes onde o software da impressora Canon esteja instalado e levaria os analistas do SOC a desconfiar dos alertas que recebem.
Os principais IOCs (indicadores de comprometimento) são a DLL maliciosa (cnmpaui.dll) e a cadeia de comportamentos que esta permite:
- Carregamento lateral e descodificação de uma carga útil encriptada com uma chave RC4 codificada
- Mapeamento do ficheiro binário PlugX descodificado para o espaço de memória de um processo de confiança
- Estabelecer persistência através da chave de execução «CanonPrinter»
- Iniciar tráfego C2 HTTPS com percursos de URL aleatórios e uma string de user-agent falsificada
Esses são os sinais mais importantes, e só se revelam quando uma ferramenta de deteção consegue observar o comportamento e distinguir entre um ficheiro binário de confiança que está a ser utilizado indevidamente e um artefacto genuinamente malicioso.
É aqui que o veredicto único e fiável MetaDefender se torna especialmente valioso. Em vez de atribuir uma classificação genérica de «malicioso» a todos os ficheiros da cadeia, o processo de deteção atribui uma pontuação a cada componente com base no seu comportamento observado no contexto completo de execução.
O ficheiro EXE assinado é reconhecido como um binário legítimo utilizado para a instalação paralela. A DLL e o comportamento em tempo de execução que esta gera são identificados como a verdadeira ameaça. Essa distinção proporciona às equipas de segurança uma visão mais clara e reduz o esforço manual necessário para separar o sinal do ruído.
A deteção estática da DLL maliciosa também pode ser reforçada com regras específicas, como as YARA, sendo que as assinaturas YARA publicadas pela Arctic Wolf para o carregador CanonStager constituem um ponto de partida útil. No entanto, a cobertura por assinaturas é, por natureza, reativa. Numa cadeia como esta, o verdadeiro fator diferenciador é a visibilidade comportamental, aliada à neutralização de ficheiros.
Aplicação de segurança de ficheiros em camadas para identificar cadeias de ataque baseadas em ficheiros LNK
Os ataques baseados em ficheiros LNK continuam a ser eficazes porque se baseiam num tipo de ficheiro que as pessoas vêem todos os dias e raramente consideram perigoso. Num artigo anterior, salientámos que os ficheiros LNK são atalhos comuns do Windows que os atacantes podem utilizar como arma, ocultando comandos do PowerShell ou do cmd.exe no seu interior, por vezes de formas que parecem inofensivas até o ficheiro ser efetivamente aberto. É exatamente por isso que campanhas como a UNC6384 continuam a ter sucesso: o atalho parece familiar, mas o comportamento que desencadeia é tudo menos isso.
Esse padrão tem-se mantido ao longo de várias campanhas. Na nossa análise sobre o Emotet, explicámos por que razão os ficheiros de atalho eram difíceis de distinguir dos documentos normais e que a sua extensão não era apresentada por predefinição no Windows. Isso tornava-os especialmente eficazes como veículos de transmissão. A lição é a mesma neste caso: os atacantes não precisam de um truque totalmente novo quando um tipo de ficheiro familiar ainda consegue infiltrar-se nos fluxos de trabalho quotidianos e desencadear uma cadeia de infeção em várias fases.
A solução não consiste em classificar todos os ficheiros da cadeia como maliciosos. Consiste, sim, em aplicar uma segurança de ficheiros em camadas capaz de revelar o comportamento em tempo de execução, distinguir entre um ficheiro binário legítimo que está a ser utilizado indevidamente e uma carga maliciosa, e impedir o gatilho antes que este seja acionado. Fale com um OPSWAT para saber como MetaDefender e a tecnologia Deep CDR™ podem ajudar a sua equipa a detetar, analisar e prevenir ataques baseados em LNK.
