Ciberespionagem: malware Gogra usa Outlook para ocultar comandos em sistemas Linux e Windows

Atualizado em 25 abr 2026

Um grupo de ciberespionagem, supostamente ligado a um Estado-nação, está elevando o nível de suas operações ao empregar uma versão sofisticada do backdoor GoGra. A nova variante, que agora atinge também sistemas Linux, utiliza a infraestrutura legítima da Microsoft Graph API e caixas de entrada do Outlook para camuflar o envio de comandos maliciosos a máquinas comprometidas. A descoberta, feita pelas equipes Symantec e Carbon Black Threat Hunter da Broadcom, revela uma expansão preocupante nas capacidades do grupo conhecido como Harvester.

ciberespionagem: cenário e impactos

Essa tática representa um desafio significativo para a segurança cibernética, uma vez que o malware se integra a serviços amplamente utilizados, dificultando a detecção por ferramentas de segurança convencionais. A habilidade de operar tanto em ambientes Windows quanto Linux com uma base de código quase idêntica sublinha a sofisticação e a persistência dos atacantes.

Estratégia Inovadora: Malware GoGra se Camufla em Serviços Microsoft

O GoGra adota uma abordagem engenhosa para se manter indetectável, abusando de serviços legítimos da Microsoft para se misturar ao tráfego corporativo diário. O malware é programado com credenciais do Azure AD, permitindo-lhe obter tokens OAuth2 e, assim, acessar pastas específicas de caixas de entrada do Outlook via Graph API. É nessas pastas que ele busca por e-mails contendo instruções maliciosas.

Essa técnica é classificada como um canal C2 (comando e controle) encoberto. As comunicações do invasor para a máquina infectada passam pelos próprios servidores da Microsoft, fazendo com que o tráfego pareça inofensivo. Isso torna a identificação por firewalls e sistemas de monitoramento de rede extremamente complexa, concedendo aos atacantes um alto grau de discrição.

Operação Secreta: Como o GoGra Executa Comandos Maliciosos

Uma vez ativo, o backdoor GoGra realiza consultas a cada dois segundos a uma pasta de e-mail peculiarmente nomeada como “Zomato Pizza”. Ele procura por mensagens cujo assunto comece com a palavra “Input”. Ao identificar um e-mail com essas características, o malware descriptografa o corpo da mensagem, que está codificado em base64 com criptografia AES-CBC, e executa o conteúdo diretamente no sistema operacional, utilizando o terminal Linux (/bin/bash -c).

Após a execução bem-sucedida dos comandos, o GoGra age rapidamente para apagar as mensagens da caixa de entrada, eliminando qualquer rastro de sua atividade. Os resultados das operações são então criptografados e transmitidos de volta ao operador do ataque pelo mesmo canal seguro. Curiosamente, a versão Windows do malware utilizava uma pasta chamada “Dragan Dash”, também associada a um restaurante de delivery em Hyderabad, na Índia, um detalhe que ajudou a conectar as duas variantes.

Conexões e Alvos: A Atuação do Grupo Harvester

A análise aprofundada dos pesquisadores revelou que as variantes Linux e Windows do GoGra compartilham uma base de código quase idêntica. Ambas empregam a mesma chave AES, a mesma lógica de comando e controle e até mesmo erros de codificação idênticos, indicando que foram desenvolvidas pela mesma equipe ou indivíduo. As principais diferenças residem na adaptação à arquitetura de cada sistema operacional, nos intervalos de tempo entre as consultas e nos nomes das pastas de e-mail utilizadas.

O grupo Harvester, responsável por essa operação, tem sido ativo desde pelo menos 2021, empregando tanto ferramentas personalizadas quanto utilitários de código aberto. Outro de seus instrumentos notórios é o backdoor Graphon, que também se vale da infraestrutura da Microsoft para comunicação C2 e apresenta notáveis semelhanças com o GoGra. As primeiras amostras do novo malware foram detectadas em dispositivos na Índia e no Afeganistão, e o uso de documentos chamariz em idiomas locais sugere um direcionamento específico a alvos na região do sul da Ásia para fins de espionagem. Para mais detalhes sobre táticas de cibersegurança, consulte um portal de tecnologia renomado.

Você encontra mais notícias em nosso site www.sobralonline.com.br e redes sociais. Siga-nos em @SobralOnline para ficar por dentro das últimas novidades!