Nos últimos anos, grupos de hackers ligados à China intensificaram suas atividades utilizando um framework de comando e controle (C2) baseado em JavaScript chamado PeckBirdy. Essa ferramenta maliciosa vem sendo empregada desde 2023 por atores avançados de ameaças persistentes (APT) para orquestrar invasões, exfiltrar dados e manter controle contínuo sobre sistemas comprometidos.
- Leia Também: Meta AI do WhatsApp terá modo de ‘pensamento’, antecipa portal
- Leia Também: Hackers da Konni implantam backdoor em PowerShell gerado por IA contra desenvolvedores de blockchain
- Leia Também: Campanha de phishing em várias etapas visa a Rússia com o RAT Amnesia e o ransomware.
O que é o framework JavaScript C2 PeckBirdy?
O PeckBirdy é um framework de comando e controle baseado em JavaScript usado por grupos de hackers alinhados à China. Diferente de malwares tradicionais, ele é escrito em JScript, uma linguagem de script antiga que pode ser executada em várias plataformas Windows usando utilitários padrão do sistema — também conhecidos como LOLBins (Living Off The Land Binaries).
Essa característica torna o PeckBirdy especialmente difícil de detectar, pois:
- Não precisa de instaladores convencionais;
- Não deixa muitos artefatos persistentes;
- Explora ferramentas legítimas para execução de código malicioso.
Por que está sendo usado desde 2023?
Pesquisadores de segurança observaram o uso do PeckBirdy pela primeira vez em 2023, quando vários sites — especialmente relacionados à indústria de jogos de azar chinesa — foram comprometidos com scripts maliciosos que desencadearam a cadeia de infecção.
Desde então, o framework tem sido identificado em pelo menos duas campanhas distintas monitoradas por empresas de cibersegurança, conhecidas como:
- SHADOW-VOID-044
- SHADOW-EARTH-045
Essas campanhas demonstram que o PeckBirdy não é uma ferramenta isolada, mas sim parte de operações bastante sofisticadas que usam servidores de C2 configurados para fornecer scripts adaptados aos ambientes das vítimas.
Como o PeckBirdy opera (explicação técnica simplificada)
1. Injeta código malicioso em sites legítimos
Os atacantes comprometem páginas web confiáveis (como sites de instituições ou páginas com grande tráfego) e injetam JavaScript malicioso. Quando um usuário acessar essas páginas, o PeckBirdy começa a ser executado silenciosamente no navegador ou no sistema do alvo.
2. Uso de LOLBins para execução furtiva
Em vez de instalar binários pesados, o PeckBirdy usa LOLBins — ferramentas legítimas do sistema operacional, como MSHTA, WScript, ou até ambientes como Node.js — para executar seu código malicioso sem acionar alarmes de antivírus.
3. Comunicação com servidores de controle
Depois de iniciado, o script se conecta a servidores de comando e controle (C2) usando protocolos como WebSocket ou outras formas de comunicação encoberta. Esses servidores podem enviar comandos adicionais, módulos maliciosos ou até backdoors completos para uso posterior.
4. Entrega de backdoors avançados
O PeckBirdy pode entregar backdoors modulares como:
- HOLODONUT
- MKDOOR
Esses módulos expandem as capacidades dos hackers, permitindo roubo de credenciais, acesso remoto total e outros comportamentos maliciosos sofisticados.
Por que isso é uma ameaça real
Essa técnica de ataque representa uma evolução significativa em comparação com malwares tradicionais por diversos motivos:
Execução stealth sem arquivos persistentes — difícil de detectar por antivírus;
Uso de ferramentas legítimas do sistema — evita gatilhos clássicos de alerta;
Flexibilidade do framework em diferentes ambientes — ataca web, sistemas e redes de forma integrada;
Possibilidade de movimento lateral e persistência prolongada em redes corporativas.
Como se proteger contra PeckBirdy e ameaças similares
Embora hackers patrocinados por Estados-nação sejam alvos avançados, muitas das práticas de defesa fundamentais se aplicam a qualquer organização preocupada com segurança.
1. Monitoramento e detecção avançada
Implemente sistemas de EDR (Endpoint Detection and Response) e ferramentas de SIEM que monitoram comportamentos anômalos, e não apenas assinaturas de vírus, para detectar scripts maliciosos e uso indevido de LOLBins.
2. Segmentação de rede e controle de execução
Limite o uso de ferramentas que podem ser abusadas como LOLBins em sistemas críticos (por exemplo, restringir MSHTA, WScript, PowerShell) — especialmente em servidores e estações de trabalho sensíveis.
3. Educação e conscientização
Treine equipes para identificar sinais de phishing e engenharia social, que muitas vezes são vetores iniciais para comprometer sites legítimos ou convencer usuários a executar scripts maliciosos.
4. Políticas de atualização e verificação de código
Use ferramentas de verificação de integridade de código e certifique-se de que scripts e componentes de sites sejam auditados regularmente para evitar injeção maliciosa.
A descoberta de que hackers ligados à China têm utilizado o framework PeckBirdy desde 2023 destaca uma tendência preocupante em cibersegurança: grandes atores de ameaça estão usando arquiteturas leves e furtivas para controlar sistemas comprometidos sem depender de grandes estruturas malware tradicionais.
Entender como essas ferramentas funcionam e aplicar práticas modernas de defesa é essencial para qualquer organização que queira proteger seus ativos digitais — seja um pequeno site ou uma infraestrutura de missão crítica.
Quer reforçar a segurança do seu site ou servidor contra ameaças avançadas e ataques como os que exploram frameworks tipo PeckBirdy?
Com hospedagem robusta, proteção avançada e suporte técnico especializado, sua presença online fica mais segura e resiliente.
