Uma nova campanha de phishing está espalhando um malware altamente evasivo — e as evidências apontam que a ameaça é mais sofisticada do que se pensava.

O time do Axur Research Team (ART) identificou e analisou uma nova versão do Byakugan, um malware com múltiplas capacidades (stealer, spyware, miner, keylogger) que tem sido utilizado em ataques contra empresas do setor financeiro e de criptomoedas. A campanha observada em 2025 demonstra um nível elevado de engenharia social e técnicas antiforense, com baixíssima detecção por soluções antivírus tradicionais.

Neste artigo, apresentamos um panorama inicial sobre o funcionamento do malware, o modo de operação dos atacantes e o impacto potencial da campanha — além de convidar você para acessar o relatório técnico completo com os detalhes da análise, IOCs e táticas MITRE ATT&CK.

Phishing direcionado e baixa detecção

O ataque começa com um e-mail de phishing que simula a comunicação de um fornecedor legítimo. A mensagem contém um PDF falso com uma suposta nota fiscal, alegando a necessidade de instalar uma versão do Adobe Reader para visualizar o documento.

Ao clicar no botão apresentado no arquivo, a vítima é redirecionada a uma URL encurtada — e então, ao GitHub, onde faz o download de um executável malicioso com nome e ícone que imitam o instalador do Reader. A engenharia social é cuidadosamente construída para parecer legítima, e o arquivo passa despercebido por muitos antivírus.

Funcionalidades do Byakugan: da evasão à mineração

Uma vez executado, o malware inicia uma cadeia de ações:

1. Bypass de UAC e hijacking de DLLs
   
2. Exclusão de exceções no Windows Defender
   
3. Execução de um processo disfarçado como "chrome.exe"
   
4. Extração de informações da máquina e navegação
   
5. Comunicação com servidores de C2 brasileiros
   
   

Além da coleta de credenciais e execução de keyloggers, o malware também oferece funcionalidades de emulação de navegador, mineração de criptoativos e controle remoto do dispositivo infectado. A comunicação com os servidores C2 é feita via portas abertas em domínios como tunneloop[.]com[.]br e floravirtual[.]com[.]br, ambos com histórico quase inexistente de detecção.

Evidências de infraestrutura e autoria

Durante a análise, o ART identificou repositórios públicos no GitHub utilizados na distribuição da campanha, além de dashboards de controle acessíveis em IPs e domínios. Um dos painéis apresenta telas com dispositivos infectados e ações disponíveis — incluindo captura de arquivos, navegação simulada e mineração.

Há ainda um vídeo hospedado no Vimeo com demonstração da ferramenta, atribuído a um usuário. Embora a campanha tenha origem no Brasil, foram registradas infecções em outros países, como Estados Unidos, Alemanha, Ucrânia e Holanda.

Mapeamento tático com MITRE ATT&CK

A campanha Byakugan 2025 envolve diversas táticas e técnicas que seguem a matriz MITRE ATT&CK, incluindo:

• Initial Access: T1566.002 (Spearphishing Link)
• Defense Evasion: T1036, T1027, T1497
• Discovery: T1082, T1057
• Command & Control: T1071.001, T1095, T1573, T1219
  
  

Esse mapeamento ajuda a entender as fases da operação e orientar medidas de detecção e mitigação.

Leia a análise completa do ART

A análise completa do Axur Research Team (ART) traz um mergulho técnico nos bastidores da campanha Byakugan 2025, com a cadeia de ataque detalhada, evidências de infraestrutura e domínios utilizados, códigos maliciosos analisados, indicadores de comprometimento (IOCs), além de recomendações práticas de mitigação. O relatório inclui ainda capturas de tela dos painéis e fluxos de infecção observados durante a investigação. Se você quer entender como esse malware opera — e como proteger sua organização —, acesse agora o relatório completo.