Silver Dragon, espionagem cibernética que sequestra serviços legítimos e utiliza backdoor personalizado é descoberto pela Check Point Software
Os pesquisadores da Check Point Research (CPR), a divisão de Inteligência de Ameaças da Check Point Software, identificaram a campanha Silver Dragon, uma operação de ciberespionagem de origem chinesa, provavelmente ligada ao APT41, que atua de forma discreta ao sequestrar serviços legítimos do Windows e utilizar um backdoor personalizado, chamado GearDoor, para executar comando e controle (C2) por meio do Google Drive.
Ativa desde meados de 2024, a operação Silver Dragon tem como alvo organizações governamentais e do setor público no Sudeste Asiático e em partes da Europa, priorizando discrição, persistência e coleta de inteligência de longo prazo em vez de ações disruptivas. A campanha combina exploração de servidores, phishing, malware customizado e infraestrutura de comando baseada em nuvem para estabelecer acesso de longo prazo nos ambientes comprometidos.
O que torna essa atividade relevante não é uma única técnica, mas a combinação: persistência furtiva dentro de serviços legítimos do Windows, uso de plataformas de nuvem confiáveis para comando e controle e um conjunto de ferramentas projetado para acesso sustentado, e não para interrupção.
Alvos asiáticos e europeus
A campanha Silver Dragon tem como foco principal entidades governamentais, com a maioria das vítimas identificadas localizada no Sudeste Asiático. Atividades adicionais também foram observadas na Europa.
O perfil das vítimas, aliado às ferramentas utilizadas e aos métodos de persistência, indica um objetivo claramente voltado à espionagem. Os operadores demonstram paciência e disciplina operacional, consistentes com coleta de inteligência de longo prazo, e não com crimes motivados por ganhos financeiros:
- Alvos no Sudeste Asiático e atividade adicional na Europa: embora a maioria dos alvos esteja no Sudeste Asiático, a equipe identificou vítimas na Europa e documentou uma campanha de phishing direcionada especificamente a entidades governamentais do Uzbequistão, reforçando o foco em inteligência estatal estratégica.
- Abordagem dupla de acesso inicial: o grupo obtém acesso por meio da exploração de servidores expostos à internet e de phishing via e-mail, tendo sucesso tanto em infraestruturas expostas quanto em ambientes com alta dependência de correio eletrônico. Essa abordagem de vetor duplo amplia significativamente a superfície de ataque para instituições públicas.
- Persistência furtiva usando serviços confiáveis do Windows: em vez de implantar serviços claramente maliciosos, o Silver Dragon explora serviços legítimos do Windows, incluindo Windows Update (wuausrv), Bluetooth Update (bthsrv), .NET ClickOnce (DfSvc), COM+ System Application e Time Zone Synchronization (tzsync), para carregar código malicioso sob nomes confiáveis. Isso permite que o malware se misture ao comportamento normal do sistema, reduzindo drasticamente a detecção em grandes ambientes corporativos e governamentais.
- Comando e controle inovador baseado em nuvem: no centro da campanha está o GearDoor, um backdoor personalizado que utiliza o Google Drive como canal de comando e controle (C2) baseado em arquivos. Cada máquina infectada cria uma pasta exclusiva na nuvem, trocando tarefas criptografadas e resultados por meio de arquivos aparentemente comuns (como .png e entregas de payload em .rar). Como o tráfego do Google Drive costuma ser permitido e confiável, a atividade maliciosa se mistura perfeitamente ao uso legítimo da nuvem, redefinindo a forma como os defensores devem encarar o tráfego “benigno” de SaaS.
- Vigilância avançada pós-exploração: a campanha Silver Dragon utiliza o SilverScreen, um implante furtivo de monitoramento de tela que captura capturas de tela apenas quando ocorrem mudanças visuais significativas, permitindo vigilância prolongada do usuário com mínimo ruído no sistema. Essa ferramenta sustenta coleta contínua de inteligência, em vez de acesso de curto prazo.
- Uso de recursos legítimos do próprio sistema combinado a ferramentas amplamente conhecidas: as cargas finais em múltiplas cadeias de infecção entregam beacons do Cobalt Strike, frequentemente se comunicando via tunelamento DNS ou HTTP, e, em alguns casos, internamente via SMB, mascarando ainda mais o tráfego malicioso. A combinação de loaders customizados, componentes confiáveis do sistema operacional e ferramentas amplamente utilizadas por equipes de Red Team evidencia uma operação de espionagem madura e bem estruturada.
Para os especialistas em segurança cibernética, a Silver Dragon demonstra que o risco não se limita mais a infraestruturas maliciosas. Serviços centrais do sistema operacional e plataformas de nuvem confiáveis podem ser silenciosamente instrumentalizados para prolongar o tempo de permanência e evadir defesas tradicionais de perímetro.
Para governos e instituições públicas críticas, isso eleva o nível de exigência em relação à visibilidade de endpoints, monitoramento em nível de serviço e inspeção de tráfego em nuvem, especialmente em regiões sob pressão geopolítica cibernética contínua.
“A campanha Silver Dragon representa a tendência atual da espionagem cibernética moderna, em que os atacantes utilizam diferentes vetores de acesso inicial, escondendo-se em serviços confiáveis do Windows e em plataformas amplamente utilizadas como o Google Drive”, aponta Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software.
De acordo com Shykevich, essa análise demonstra que a segurança não pode mais tratar o tráfego de nuvem e os componentes centrais do sistema operacional como inerentemente seguros.
Para se manterem protegidas, as organizações, e especialmente os governos, devem priorizar a aplicação rápida de patches em servidores expostos, fortalecer as defesas de e-mail e monitorar continuamente mudanças em nível de serviço e atividades autorizadas na nuvem. “Para o setor de cibersegurança, este é um sinal claro de que o futuro da defesa depende de prevenção em primeiro lugar e de visibilidade integrada entre ambientes, capaz de identificar abusos mesmo quando parecem legítimos.”
Avaliação de atribuição
A avaliação da equipe da CPR sobre a Silver Dragon baseia-se em:
- Fortes semelhanças nas técnicas de instalação e persistência
- Sobreposição de comportamentos de ferramentas e rotinas de descriptografia
- Padrões operacionais consistentes entre campanhas
- Indicadores temporais alinhados ao Horário Padrão da China
Embora a atribuição em operações cibernéticas raramente se baseie em um único fator, a convergência de evidências técnicas e operacionais sustenta essa conclusão.
Os pesquisadores também destacam as tendências contínuas na espionagem cibernética avançada que torna a campanha Silver Dragon relevante:
- Crescente exploração de plataformas de nuvem confiáveis para comunicação encoberta
- Técnicas de persistência que se escondem dentro do comportamento legítimo do sistema
- Evolução contínua de ferramentas customizadas
- Foco sustentado em alvos governamentais e estratégicos
Para os especialistas, isso reforça a necessidade de ir além das defesas tradicionais de perímetro. O monitoramento deve abranger endpoints, atividade interna de rede e serviços em nuvem. Plataformas legítimas podem ser indevidamente utilizadas, e serviços confiáveis podem se tornar canais ocultos.
Por isso, as organizações com infraestrutura exposta e alto valor estratégico, especialmente no setor público, devem priorizar a aplicação de patches em sistemas voltados à internet, fortalecer defesas de e-mail e monitorar de perto modificações em nível de serviço em ambientes Windows.
Em resumo, a campanha Silver Dragon evidencia uma tendência estratégica mais ampla na espionagem cibernética avançada. Em vez de depender exclusivamente de infraestrutura própria, atores alinhados a Estados estão cada vez mais se inserindo em sistemas corporativos legítimos e serviços de nuvem confiáveis. Isso reduz a visibilidade para defesas tradicionais de perímetro e prolonga o tempo de permanência nas redes alvo.
Para lideranças executivas, a implicação é clara: a exposição não está mais restrita a malwares evidentes ou conexões externas suspeitas. A batalha contra a espionagem agora inclui o uso sutil de serviços legítimos, plataformas de nuvem e componentes centrais do sistema operacional.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd é protagonista na proteção da confiança digital (digital trust), utilizando soluções de segurança cibernética com tecnologia de IA para proteger mais de 100.000 organizações em todo o mundo. Por meio de sua Plataforma Infinity e de um ecossistema aberto, a abordagem de prevenção em primeiro lugar da Check Point Software oferece eficácia de segurança líder do setor, reduzindo riscos. Empregando uma arquitetura de rede de malha (mesh) híbrida com SASE como núcleo, a Plataforma Infinity unifica o gerenciamento de ambientes locais, na nuvem e em ambientes de trabalho, oferecendo flexibilidade, simplicidade e escala para empresas e provedores de serviços.
RSAC Conference 2026: criptografia, IA e o futuro da cibersegurança em debate global
Kaspersky aprimora solução de detecção de ciberameaças
Consumidor Não Perdoa Mais Falhas de Segurança
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
