A Equipe de Pesquisa e Análise Global da Kaspersky, em colaboração com especialistas da BI.ZONE Vulnerability Research, identificaram neste ano novas atividades associadas ao backdoor PipeMagic, descoberto originalmente em dezembro de 2022. ‘Segundo a pesquisa, os ataques recentes mostram um interesse constante em organizações sauditas, assim como a expansão para novas regiões, com o Brasil sendo o único país alvo da América Latina.
Os pesquisadores acompanharam a evolução do malware, identificaram as principais mudanças em suas táticas de operação e realizaram uma análise técnica da vulnerabilidade da Microsoft identificada como CVE-2025-29824. Essa vulnerabilidade foi a única entre as 121 corrigidas em abril de 2025 que era explorada ativamente, que foi especificamente usada por um exploit integrado na cadeia de infecção do PipeMagic. O relatório mostrou que vulnerabilidade possibilitava a escalação de privilégios no sistema operacional, devido a uma falha no driver do registro.
Um dos ataques da campanha de 2025 explorou um arquivo de índice de Ajuda da Microsoft que tem duas finalidades a de descriptografar e executar um código shell, que era criptografado usando a cifra RC4 com uma chave hexadecimal. Quando descriptografado, o código era então executado pela função WinAPI EnumDisplayMonitors, que permitia a resolução dinâmica de endereços API do sistema por meio da injeção do processo.
Os especialistas também identificaram versões atualizadas do PipeMagic disfarçado como um cliente do ChatGPT. Esse aplicativo se assemelha ao usado nos ataques de 2024 às organizações sauditas. Eles compartilham as mesmas estruturas “Tokio” e “Tauri”, a mesma versão da biblioteca “libaes” e demonstram estruturas de arquivos e comportamentos semelhantes.
“O ressurgimento do PipeMagic confirma que esse malware continua ativo e evoluindo. As versões de 2024 introduziram aprimoramentos que aumentam a persistência nas infraestruturas das vítimas e promovem a movimentação lateral dentro das redes atingidas”, comenta Fabio Assolini, Diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
O PipeMagic é um backdoor descoberto pela Kaspersky em 2022 durante a investigação de uma campanha maliciosa envolvendo a família de ransomware RansomExx. Na época, as vítimas incluíam indústrias do sudeste asiático. Os atacantes exploravam a vulnerabilidade identificada como CVE-2017-0144 para obter acesso à infraestrutura interna. O backdoor permite dois modos de operação, funcionando como uma ferramenta de acesso remoto com todos os recursos ou como um proxy de rede, possibilitando a execução de diversos comandos. Em outubro de 2024, foi observada uma nova iteração do PipeMagic em ataques contra organizações na Arábia Saudita que usavam um aplicativo falso do ChatGPT como isca.
