Uma simples pesquisa no Bing por “ManageEngine OpManager” — uma ferramenta de monitorização de redes amplamente utilizada por equipas de TI — transformou-se num ataque de ransomware à escala empresarial. Uma campanha de envenenamento de motores de pesquisa (SEO poisoning) levou administradores de sistemas a instalar um instalador malicioso disfarçado de software legítimo, culminando na implantação do ransomware Akira em toda a rede da vítima, num intervalo total de apenas 44 horas.
Como começou: uma pesquisa aparentemente inofensiva
O ataque, documentado em detalhe pela The DFIR Report em parceria com a Swisscom B2B CSIRT, teve início em julho de 2025. Um utilizador que pesquisou “ManageEngine OpManager” no Bing foi direcionado para opmanager[.]pro, um domínio falso sofisticado que imitava o site oficial e que, por sua vez, redirecionava para download-center[.]online antes de entregar o ficheiro malicioso final. Em vez do software legítimo, a vítima descarregou um instalador MSI trojanizado — ManageEngine-OpManager.msi — que instalava efetivamente a aplicação real, mas carregava simultaneamente o malware Bumblebee através de uma DLL maliciosa (msimg32.dll) executada via consent.exe, recorrendo à técnica de DLL side-loading.
A análise forense ao histórico do navegador confirmou a sequência de redirecionamentos que conduziram ao site malicioso, e os registos mostraram explorer.exe como processo principal, validando que o ficheiro foi executado manualmente pelo utilizador a partir do ambiente de trabalho — confirmando que a tática de disfarce funcionou exatamente como previsto pelos atacantes. Esta intrusão insere-se numa campanha mais ampla de envenenamento SEO ligada ao Bumblebee, identificada inicialmente pela Cyjax em maio de 2025, que utiliza uma arquitetura de distribuição em duas camadas: domínios de fachada que aparecem nos resultados de pesquisa (como opmanager[.]pro e zenmap[.]pro) e uma camada secundária de entrega do payload final.
Cronologia técnica detalhada da intrusão
| Momento | Ação do atacante | Indicador técnico |
|---|---|---|
| T+0 | Execução do instalador trojanizado | ManageEngine-OpManager.msi via explorer.exe |
| T+0 | Carregamento do Bumblebee (DLL side-loading) | msimg32.dll via consent.exe |
| T+0 | Estabelecimento de C2 inicial (Bumblebee) | 109.205.195[.]211:443 e 188.40.187[.]145:443 (domínios DGA) |
| ~T+5h | Implantação do beacon AdaptixC2 | AdgNsy.exe (mascarado como Address Book do Windows) → C2 em 172.96.137[.]160:443 |
| T+5h a T+20h | Reconhecimento interno (living-off-the-land) | systeminfo, nltest /dclist:, whoami /groups, net group domain admins /dom |
| ~T+20h | Criação de contas privilegiadas | Contas de domínio backup_DA e backup_EA; backup_EA adicionada a Enterprise Admins |
| ~T+24h | Acesso ao controlador de domínio via RDP | Porta 3389/TCP |
| ~T+24h | Extração da base de credenciais do AD | NTDS.dit via wbadmin |
| ~T+25h | Despejo de memória LSASS | rundll32.exe + comsvcs.dll |
| ~T+26h | Extração de credenciais adicionais | Base de dados PostgreSQL da Veeam |
| ~T+30h | Persistência adicional | RustDesk instalado como serviço Windows em múltiplos servidores |
| ~T+32h | Túnel reverso para movimento lateral | SSH para 193.242.184[.]150 |
| ~T+36h | Exfiltração de dados | SFTP (porta 22/TCP) via FileZilla para 185.174.100[.]203 |
| T+44h | Implantação do ransomware Akira | locker.exe — cifragem do domínio raiz |
| T+44h + 2 dias | Segunda onda de cifragem | Reentrada via RustDesk; domínio subordinado (child domain) cifrado |
No incidente paralelo documentado pela Swisscom B2B CSIRT — com um instalador trojanizado do Advanced IP Scanner — o tempo entre o acesso inicial e a implantação do ransomware (time-to-ransom, TTR) foi de apenas 9 horas, evidenciando o elevado grau de automação das ferramentas utilizadas pelos atacantes nesta campanha.
Indicadores de comprometimento (IOCs)
Domínios maliciosos de distribuição:
opmanager[.]pro— site falso para o instalador ManageEngine OpManagerangryipscanner[.]org— site falso para o Angry IP Scanneraxiscamerastation[.]org— site falso para software de câmaras Axisip-scanner[.]org— site falso para Advanced IP Scanner (caso Swisscom)ev2sirbd269o5j.orge2rxyt9urhq0bgj.org— domínios DGA do Bumblebee
Infraestrutura de comando e controlo:
- 109.205.195[.]211:443 e 188.40.187[.]145:443 — C2 Bumblebee
- 172.96.137[.]160:443 — C2 AdaptixC2 (caso DFIR Report)
- 170.130.55[.]223 — C2 AdaptixC2 (caso Swisscom)
- 193.242.184[.]150 e 83.229.17[.]60 — servidores de túnel SSH
- 185.174.100[.]203 — servidor de exfiltração SFTP
Ficheiros maliciosos (hashes SHA-256):
ManageEngine-OpManager.msi— 186b26df63df3b7334043b47659cba4185c948629d857d47452cc1936f0aa5damsimg32.dll(Bumblebee) — a6df0b49a5ef9ffd6513bfe061fb60f6d2941a440038e2de8a7aeb1914945331locker.exe(Akira) — de730d969854c3697fd0e0803826b4222f3a14efe47e4c60ed749fff6edce19dAdvanced-IP-Scanner.msi(caso Swisscom) — a14506c6fb92a5af88a6a44d273edafe10d69ee3d85c8b2a7ac458a22edf68d2
Portas e protocolos envolvidos
- 443/TCP (HTTPS) — comunicação C2 do Bumblebee e do AdaptixC2, dissimulada em tráfego encriptado normal
- 3389/TCP (RDP) — acesso remoto ao controlador de domínio
- 22/TCP (SSH/SFTP) — túnel reverso para movimento lateral e exfiltração de dados
Uma campanha mais ampla — e mais alvos confirmados
Durante a investigação, a equipa identificou ainda dois outros sites maliciosos a distribuir instaladores trojanizados de ferramentas populares: software de câmaras Axis e o utilitário Angry IP Scanner — indicando que a campanha de envenenamento de motores de pesquisa tem um alcance mais amplo do que um único caso isolado, visando sistematicamente ferramentas de uso comum entre equipas de TI.
Porque é que este tipo de ataque funciona tão bem
A escolha de imitar especificamente uma ferramenta de gestão de TI como o ManageEngine OpManager não é acidental. Investigadores sublinham que esta tática visa deliberadamente equipas de TI e administradores de sistemas — utilizadores que tipicamente possuem contas com privilégios elevados em Active Directory e estão sujeitos a menos restrições do que perfis de utilizador padrão. Ao conseguir execução em estações de trabalho destes utilizadores, os atacantes obtêm acesso privilegiado imediato, eliminando a necessidade de técnicas complexas de escalada de privilégios habitualmente exigidas em ataques direcionados.
Sinais de alerta e medidas de deteção
A The DFIR Report recomenda que as equipas de segurança monitorizem ativamente:
- Instalações MSI executadas a partir de diretórios de utilizador (
C:\Users\*\Desktop\*.msi,C:\ProgramData\*.msi) que originam processos filho inesperados, comoconsent.exe - Carregamentos anómalos de bibliotecas do sistema, como
msimg32.dll, fora do contexto esperado - Pacotes MSI com nomes genéricos de software popular descarregados para diretórios de utilizador, em vez de distribuídos por canais de gestão de software corporativos
- Sequências de comandos de reconhecimento (
systeminfo,nltest,whoami /groups) executadas pouco depois da instalação de novo software - Criação de novas contas de domínio com adição imediata a grupos privilegiados (Domain Admins, Enterprise Admins)
- Instalação não autorizada de ferramentas de acesso remoto como RustDesk como serviço do Windows
Porque é que isto importa
Este caso demonstra como hábitos de pesquisa quotidianos e rotineiros podem tornar-se a porta de entrada direta para o comprometimento total de uma rede empresarial. A questão central não é apenas técnica — é também de processo: equipas de TI devem obter software exclusivamente através de canais oficiais e verificados, de preferência através de portais de gestão de software corporativos centralizados, nunca através de resultados de pesquisa direta na internet, mesmo quando estes parecem legítimos e bem posicionados.
Para organizações em Portugal, o caso sublinha a importância de políticas claras sobre instalação de software, segmentação de privilégios administrativos e deteção comportamental — em vez de depender apenas de indicadores estáticos como assinaturas de antivírus, que são facilmente contornados por instaladores aparentemente legítimos como este. A velocidade do ataque — de pesquisa no Bing a rede completamente cifrada em menos de dois dias — deixa pouca margem para resposta manual; a deteção comportamental automatizada e a segmentação de rede são, neste contexto, defesas decisivas.
Esta informação tem carácter noticioso e baseia-se no relatório técnico publicado pela The DFIR Report em parceria com a Swisscom B2B CSIRT, e em reportagens complementares do Cyber Security News, GBHackers e Security Online.