Hackers ocultam webshells para ataques futuros

Hackers estão ocultando webshells adormecidos em sistemas vulneráveis para facilitar invasões posteriores, conforme revela o relatório “Sleeper Shells: How Attackers Are Planting Dormant Backdoors in Ivanti EPMM”, publicado em 9 de fevereiro de 2026 pela Defused. De acordo com os analistas da Defused, uma campanha coordenada iniciada em 4 de fevereiro de 2026 utiliza um padrão diferente de exploração em massa, onde os invasores implantam um payload e abandonam o sistema sem executar comandos imediatos. Os especialistas explicam que esse comportamento é característico de corretores de acesso inicial (IABs), que estabelecem um ponto de entrada para vender ou transferir o acesso a outros criminosos posteriormente.

Exploração de vulnerabilidades críticas na Ivanti

A campanha utiliza duas vulnerabilidades críticas no Ivanti Endpoint Manager Mobile (EPMM), identificadas como CVE-2026-1281 e CVE-2026-1340, segundo aponta a Defused. Conforme explica o relatório, essas falhas permitem o desvio de autenticação e a execução remota de código, afetando pacotes de software específicos como o aftstore e o appstore. De acordo com os pesquisadores, embora a Ivanti tenha publicado orientações de correção, a exploração ativa continua atingindo grandes instituições e governos globais através desses vetores de acesso não autenticado.

Funcionamento técnico do carregador em memória

O implante identificado como “base.Info” é um carregador de classes Java em memória que não fornece execução de comandos imediata, conforme detalha a análise técnica da Defused. Segundo os analistas, o arquivo é carregado no caminho /mifs/403.jsp e funciona apenas como um estágio inicial para receber e executar uma segunda classe Java enviada via HTTP no futuro. De acordo com o relatório, o código utiliza métodos incomuns para evitar detecção por ferramentas de segurança padrão e coleta informações do ambiente do host, como nome do sistema operacional e diretórios de trabalho, para orientar o operador.

Recomendações e indicadores de comprometimento

A ausência de atividade imediata após a invasão não significa que o acesso não seja valioso, alerta a equipe da Defused. Conforme explica o relatório, os administradores de sistemas Ivanti EPMM devem aplicar patches imediatamente e reiniciar os servidores de aplicação para remover implantes que residem apenas na memória RAM. De acordo com os pesquisadores, a detecção pode ser feita monitorando requisições ao caminho /mifs/403.jsp e identificando parâmetros Base64 que iniciam com a sequência de bytes “yv66vg”, típica de arquivos Java.