wooperstealer - RunkIntel

# WooperStealer > [!high] Infostealer do Grupo Confucius com Foco em Sul da Ásia > WooperStealer é um infostealer desenvolvido e operado pelo grupo de espionagem Confucius, com foco em alvos governamentais e militares no sul da Ásia, principalmente Índia e Paquistão. Evoluiu para o backdoor AnonDoor em 2025. ## Visão Geral WooperStealer é um infostealer customizado atribuído ao grupo [[g0142-confucius]], uma APT de origem indiana ativa desde pelo menos 2013. O malware foi documentado em campanhas de espionagem direcionadas a funcionários governamentais, militares e diplomáticos no sul da Ásia, com interesse particular no Paquistão. O malware é distribuído primariamente via arquivos PPSX (PowerPoint) e atalhos LNK maliciosos enviados por phishing. A técnica central é o DLL side-loading - o dropper executa um binário legítimo que carrega a DLL maliciosa do WooperStealer. Esta abordagem permite ao malware operar sob o processo de um software confiável, dificultando a detecção. Uma vez ativo, o WooperStealer exfiltra documentos (PDF, DOCX, XLSX), arquivos comprimidos, imagens e dados de email. Os dados coletados são enviados ao servidor C2 do operador via conexões HTTP/HTTPS cifradas. Em 2025, a FortiGuard Labs documentou a evolução do grupo para uma nova implantação denominada AnonDoor, um backdoor Python com capacidades mais amplas que potencialmente substitui ou complementa o WooperStealer. No contexto regional, o Confucius representa uma ameaça significativa para organizações com ligações ao sul da Ásia, incluindo embaixadas, organizações não governamentais e empresas de tecnologia com operações na região. > [!latam] Relevância para o Brasil e LATAM > O grupo Confucius não possui histórico documentado de ataques no Brasil, mas missões diplomáticas indianas e paquistanesas no Brasil, bem como organizações com parceiros na região sul-asiática, podem representar superfície de ataque. O Brasil mantém relações diplomáticas ativas com ambos os países, e embaixadas são alvos tradicionais de espionagem estatal. Organizações de **direitos humanos** e **academia** com pesquisadores que trabalham com questões da região devem considerar o risco de spear-phishing similar ao utilizado pelo WooperStealer. ## Attack Flow ```mermaid graph TB A["📧 Spear-Phishing PPSX ou LNK malicioso"] --> B["🖱️ Execução pelo Usuário Abertura do arquivo PPSX/LNK"] B --> C["📂 DLL Side-Loading Binário legítimo carrega DLL maliciosa"] C --> D["💾 Persistência Registro ou pasta de inicialização"] D --> E["🔍 Coleta de Arquivos Documentos, imagens, arquivos ZIP"] E --> F["📧 Exfiltração de Email Arquivos de email e contatos"] F --> G["📤 Upload C2 HTTP/HTTPS para servidor do atacante"] ``` *Atores relacionados: [[g0142-confucius]] · Evolução: [[anondoor]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566 | Phishing | Acesso Inicial | Entrega via PPSX e arquivos LNK maliciosos | | T1574.002 | DLL Side-Loading | Evasão | Binário legítimo carregando DLL maliciosa do stealer | | T1204 | User Execution | Execução | Usuário abre arquivo PPSX ou LNK | | T1005 | Data from Local System | Coleta | Documentos PDF/DOCX/XLSX, ZIPs, imagens | | T1114 | Email Collection | Coleta | Dados de email e contatos | | T1113 | Screen Capture | Coleta | Capturas de tela do sistema comprometido | | T1041 | Exfiltration Over C2 | Exfiltração | Upload via HTTP/HTTPS ao servidor C2 | | T1547 | Boot/Logon Autostart | Persistência | Entrada de registro para inicialização automática | ## Diagrama de Evolução ```mermaid graph TB subgraph Grupo Confucius C13["Ativo desde 2013 APT Indiana - Sul Asia"] end subgraph Arsenal de Malware WS["WooperStealer 2022-2024 DLL Sideloading"] AD["AnonDoor 2025+ Backdoor Python"] OLD["Ferramentas antigas ChatSpy, LordRAT"] end subgraph Alvos GOV["Governo Paquistao e India"] MIL["Organizacoes Militares"] DIP["Diplomaticos Sul da Asia"] end C13 --> WS C13 --> AD C13 --> OLD WS --> GOV WS --> MIL AD --> DIP ``` *Técnicas: [[t1574-002-dll-side-loading|T1574.002]] · [[t1005-data-from-local-system|T1005]] · [[t1041-exfiltration-over-c2-channel|T1041]]* ## Detecção e Defesa **Indicadores comportamentais:** - Arquivo PPSX ou LNK em email de phishing de remetente desconhecido - Processo legítimo carregando DLL de localização atípica - Acesso a múltiplos documentos e arquivos de email em sequência rápida - Tráfego HTTP/S outbound incomum com uploads de dados **Mitigações recomendadas:** - Desabilitar execução de macros e scripts em arquivos PowerPoint via GPO - Implementar regras de AppLocker/WDAC para bloquear DLL loading de diretórios suspeitos - Monitorar processos legítimos com comportamento de acesso a documentos em massa - Filtro de email com análise de anexos PPSX e arquivos LNK - [[m1049-antivirus-antimalware|AV/EDR]] com detecção heurística para DLL side-loading ## Referências - [1](https://www.fortinet.com/blog/threat-research/confucius-apt-new-cyberespionage-targeting-south-asian-governments) FortiGuard Labs - Confucius APT: New Cyberespionage Targeting South Asian Governments (2025) - [2](https://attack.mitre.org/groups/G0142/) MITRE ATT&CK - Confucius Group G0142 (2023) - [3](https://www.trendmicro.com/en_us/research/21/f/confucius-update-new-tools-and-techniques-further-connects-patchwork-to-confucius.html) Trend Micro - Confucius Update: New Tools and Techniques (2021) - [4](https://www.seqrite.com/blog/operation-sidecopy-confucius-apt-expanding-its-cyber-arsenal/) Seqrite Labs - Confucius APT Expanding Its Cyber Arsenal (2023)