Chinese APT Deploys EggStreme Fileless Malware to Breach Philippine Military Systems

Um grupo de ameaça persistente avançada (APT) da China comprometeu uma empresa militar das Filipinas usando um malware fileless previamente não documentado chamado EggStreme.

O malware, descrito pela Bitdefender como uma estrutura multicomponente sofisticada, opera através de injeção de código direto na memória e aproveita o DLL sideloading para execução de payloads. O componente principal, EggStremeAgent, é um backdoor completo que permite reconhecimento do sistema, movimento lateral e roubo de dados através de um keylogger injetado.

A campanha foi detectada no início de 2024 e segue um padrão recorrente de grupos de hacking chineses visando as Filipinas, provavelmente relacionado às tensões geopolíticas no Mar do Sul da China.

A operação em múltiplos estágios começa com o EggStremeFuel, que realiza profiling do sistema e implanta componentes subsequentes. O backdoor suporta 58 comandos para descoberta de rede, execução de shellcode, escalação de privilégios e exfiltração de dados.

A natureza fileless do framework, combinada com técnicas de evasão como DLL sideloading, permite operação discreta sem deixar vestígios em disco, representando uma ameaça persistente e significativa.