spying-4518798_1280-1.jpg

Malware PDFSider usa PDF24 para espionagem

Uma nova ameaça cibernética denominada PDFSider utiliza o software legítimo PDF24 App para estabelecer backdoors em redes corporativas. A descoberta foi detalhada pela empresa de segurança Resecurity em 19 de janeiro de 2026, após uma corporação da lista Fortune 100 bloquear uma tentativa de invasão em seus sistemas. O ataque emprega técnicas de evasão para permitir o acesso remoto e a exfiltração de dados de organizações.

Manipulação do PDF24 App via DLL side-loading

O processo de infecção inicia-se com o envio de e-mails de spear-phishing que contêm arquivos compactados em formato ZIP. Dentro desses arquivos, os atacantes incluem o executável PDF24.exe, desenvolvido pela empresa Miron Geek Software GmbH. O método de ataque utiliza o DLL side-loading, inserindo um arquivo malicioso intitulado cryptbase.dll na mesma pasta do programa real. Quando o usuário executa o PDF24 App, o sistema operacional carrega o código dos atacantes em vez da biblioteca legítima do Windows.

A execução ocorre diretamente na memória RAM do computador, o que impede a detecção por ferramentas de antivírus baseadas em assinaturas de arquivos em disco. Os pesquisadores identificaram o uso da string de comando CREATE_NO_WINDOW, que suprime a abertura de qualquer console ou janela visível durante a operação do malware.

Características técnicas e espionagem de longo prazo

O PDFSider é classificado como uma Ameaça Persistente Avançada (APT), projetada para operações de espionagem de longa duração. O código verifica a capacidade de memória do sistema através da função GlobalMemoryStatusEx; caso detecte valores baixos de RAM, interpretados como um ambiente de sandbox para testes de segurança, o software interrompe sua execução. Para a proteção das comunicações com o servidor de comando e controle (C2), o artefato utiliza a biblioteca criptográfica Botan 3.0.0 com o algoritmo AES-256-GCM.

Os dados coletados são enviados para servidores VPS privados através da porta DNS 53. Além do componente técnico, o grupo responsável pela campanha utilizou táticas de engenharia social, incluindo a simulação de suporte técnico via QuickAssist e a criação de documentos falsos atribuídos ao Departamento de Inteligência do Estado-Maior Conjunto da China. A Resecurity aponta que os métodos possuem semelhanças com as atividades do grupo Mustang Panda, também relacionado ao uso do backdoor LOTUSLITE. A investigação alerta que grupos de ransomware começaram a adotar o PDFSider para a entrega de cargas úteis adicionais em infraestruturas empresariais.