Pesquisadores de segurança cibernética revelaram que criminosos digitais estão explorando uma falha já corrigida no Microsoft Windows para implantar o malware PipeMagic, associado ao ransomware RansomExx. A vulnerabilidade em questão é a CVE-2025-29824, que afeta o Windows Common Log File System (CLFS) e foi corrigida pela Microsoft em abril de 2025. O PipeMagic não é novo: ele foi identificado pela primeira vez em 2022 em ataques contra empresas industriais no sudeste asiático.
Desde então, tem sido utilizado como backdoor avançado, capaz de garantir acesso remoto e executar comandos variados em sistemas comprometidos. Em campanhas anteriores, os atacantes exploraram falhas como a CVE-2017-0144, usada também no caso do WannaCry, e até mesmo aplicativos falsos do ChatGPT para disseminar o malware, como ocorreu em outubro de 2024 na Arábia Saudita. Mais recentemente, amostras descobertas em 2025 incluíam loaders disfarçados de cliente falso do ChatGPT e até arquivos maliciosos imitando atualizações do Google Chrome. De acordo com o relatório, a ameaça atual foi atribuída ao grupo de cibercriminosos rastreado como Storm-2460. Os ataques recentes tiveram como alvos organizações na Arábia Saudita e no Brasil, sinalizando a expansão da atividade do grupo. O PipeMagic se destaca por seu funcionamento modular.
Ele utiliza comunicação via pipes nomeados e hospeda seus componentes adicionais em servidores da nuvem Azure. Essa arquitetura permite a execução de payloads adicionais e garante maior flexibilidade e persistência dentro das redes das vítimas. Entre suas capacidades estão módulos para comunicação assíncrona, leitura e escrita de arquivos, injeção de payloads adicionais e execução de código C#. Além disso, nas campanhas de 2025, foi identificado o uso da ferramenta ProcDump, renomeada como “dllhost.exe”, para roubar credenciais ao extrair memória do processo LSASS, fundamental para autenticação em sistemas Windows.
