A Kaspersky, em parceria com a BI.ZONE Vulnerability Research, identificou novas atividades do backdoor PipeMagic em 2025, desta vez atingindo empresas industriais brasileiras, único alvo da América Latina. Originalmente descoberto em 2022, o malware continua ativo e ampliou seu alcance geográfico, mantendo interesse em organizações sauditas e expandindo para novas regiões. Os ataques recentes exploram vulnerabilidades da Microsoft e aplicativos falsos do ChatGPT para infectar sistemas.
Leia também
Alto risco de DDoS para provedores, diz CEO da Huge Networks
Falha do WatchGuard permite execução de código
Pesquisadores observaram que o PipeMagic utiliza a vulnerabilidade CVE-2025-29824, que permite escalonamento de privilégios no sistema operacional devido a uma falha no driver clfs.sys. Em uma das campanhas, o malware explorou arquivos de índice de Ajuda da Microsoft para descriptografar código RC4 e executá-lo por meio da função WinAPI EnumDisplayMonitors, que resolve dinamicamente endereços de APIs do sistema e injeta código em processos ativos.
Versões recentes do PipeMagic também se disfarçam como clientes do ChatGPT, replicando estruturas e bibliotecas observadas em ataques de 2024 contra organizações sauditas, incluindo frameworks “Tokio” e “Tauri” e a biblioteca “libaes”. Os pesquisadores destacam que essas novas iterações aumentam a persistência dentro das redes comprometidas e facilitam a movimentação lateral, mantendo o malware operacional por longos períodos.
O PipeMagic atua como backdoor com dois modos de operação: ferramenta de acesso remoto completa ou proxy de rede, permitindo execução de diversos comandos. Historicamente, o malware explorou vulnerabilidades antigas, como CVE-2017-0144, em campanhas envolvendo ransomware RansomExx no Sudeste Asiático, e mais recentemente, em 2024, atacou organizações na Arábia Saudita usando aplicativos falsos do ChatGPT como isca.