Servidor Abandonado do Sogou Zhuyin é Sequestrado em Campanha de Espionagem na Taiwan

29 de agosto de 2025 - Uma campanha de espionagem batizada de TAOTH está utilizando um servidor de atualização abandonado do software de entrada de texto Sogou Zhuyin para distribuir múltiplas famílias de malware.

Ataque e Alcance

• Threat actors assumiram o controle do domínio "sogouzhuyin[.]com" em outubro de 2024
• Alvos principais: dissidentes, jornalistas, pesquisadores e líderes tecnológicos
• Taiwan representa 49% dos alvos, seguido por Camboja (11%) e EUA (7%)
• Estima-se que centenas de vítimas tenham sido impactadas

Técnicas de Infecção

• Cadeias de infecção sofisticadas usando atualizações de software sequestradas
• Páginas falsas de armazenamento em nuvem e login para distribuir malware
• Exploração do processo de atualização automática do software legítimo

Malwares Utilizados

• TOSHIS: Loader que busca payloads secundários (Cobalt Strike ou Merlin)
• DESFY: Spyware que coleta nomes de arquivos de áreas específicas
• GTELAM: Spyware que coleta arquivos com extensões específicas e exfiltra para Google Drive
• C6DOOR: Backdoor em Go com funcionalidades avançadas de comando e controle

Táticas Adicionais

• Uso de serviços de nuvem legítimos para ocultar atividades maliciosas
• Campanhas de phishing com páginas de login falsas e arquivos ZIP maliciosos
• Ataques de OAuth para obter acesso não autorizado a contas de email

Recomendações de Segurança

• Auditar ambientes regularmente para software sem suporte
• Remover ou substituir aplicações end-of-life
• Revisar permissões solicitadas por aplicações em nuvem antes de conceder acesso

A campanha TAOTH demonstra uma operação persistente focada em reconhecimento, espionagem e abuso de email, com sobreposição de infraestrutura e ferramentas com atividades de threat previamente documentadas.