APT chinês ataca empresa militar filipina com novo malware sem arquivo EggStreme

Bitdefender descobre EggStreme, um malware sem arquivo criado por uma APT sediada na China e que tem como alvo os militares filipinos e organizações da região Ásia-Pacífico.

Pesquisadores de segurança cibernética da Bitdefender identificaram uma nova estrutura de malware chamada EggStreme, atualmente usada por um grupo APT chinês para espionar organizações militares na região da Ásia-Pacífico. A descoberta ocorreu após uma investigação sobre um comprometimento de uma empresa militar filipina.

Segundo os pesquisadores, o kit de ferramentas de malware é projetado como um sistema "unificado", em vez de amostras separadas de malware. Seus componentes funcionam em sequência, começando com um carregador chamado EggStremeFuel, que prepara o ambiente para as etapas posteriores. Por fim, os invasores implantam o EggStremeAgent, um backdoor completo que pode realizar reconhecimento, roubar dados, modificar e até mesmo excluir arquivos importantes.

O relatório técnico da Bitdefender, compartilhado com o Hackread.com antes de sua publicação na quarta-feira, 10 de setembro de 2025, revela que o EggStreme realiza execução sem arquivo . Além disso, embora os módulos criptografados existam no disco, as cargas maliciosas são descriptografadas e executadas apenas na memória. Combinado com o carregamento lateral de DLL, isso torna a estrutura mais difícil de detectar.

O backdoor principal, EggStremeAgent, suporta 58 comandos. Ele é capaz de coletar dados do sistema, manipular arquivos, executar comandos e injetar payloads adicionais. Cada vez que uma nova sessão de usuário é iniciada, ele também injeta um keylogger no explorer.exe para monitorar as teclas digitadas e os dados da área de transferência. A comunicação com os servidores de comando e controle ocorre por meio de canais gRPC (Google Remote Procedure Call) criptografados.

Para garantir seu acesso, os invasores implantam uma ferramenta secundária chamada EggStremeWizard. Esse backdoor mais leve utiliza outro truque de sideload de DLL com xwizard.exe e mantém sua própria lista de servidores de fallback. Juntamente com uma ferramenta de proxy chamada Stowaway, a estrutura permite que os operadores roteiem o tráfego dentro da rede da vítima, ignorando as regras de segmentação e firewall.

A Bitdefender observa que a campanha ainda está ativa e aconselha as organizações na região a aplicarem os indicadores de comprometimento publicados. Indicadores de comprometimento e detalhes técnicos foram disponibilizados no Portal IntelliZone da Bitdefender e em seu repositório público no GitHub .

Vale ressaltar que as Filipinas estão sob constante pressão cibernética há algum tempo, não apenas por causa de kits de ferramentas de espionagem como o EggStreme, mas também por causa de campanhas gerais de hacktivismo e desinformação ligadas às tensões no Mar da China Meridional.

As Filipinas já vêm lidando com um aumento nos ataques cibernéticos, com incidentes aumentando em mais de 300% no início de 2024 em meio a disputas no Mar da China Meridional. O ataque do malware EggStreme mostra que essas campanhas não são eventos isolados, mas parte de uma pressão maior e contínua sobre a frente cibernética e militar do país.