Uma nova campanha de espionagem cibernética vem explorando servidores Microsoft SQL em ataques direcionados a organizações governamentais, financeiras e industriais na Ásia, África e América Latina. A operação, batizada de PassiveNeuron, utiliza malwares inéditos e altamente modulares para comprometer sistemas corporativos e roubar informações sensíveis sem despertar alertas.
A descoberta foi feita por pesquisadores da Kaspersky, que identificaram dois componentes principais da campanha: o Neursite e o NeuralExecutor. Esses programas atuam em conjunto, permitindo que os invasores executem comandos remotamente, implantem backdoors adicionais e exfiltrem dados de maneira furtiva. O ataque começa com a exploração de vulnerabilidades conhecidas no Microsoft SQL Server, que abre caminho para a instalação silenciosa dos implantes. Segundo a análise, o Neursite é responsável pela fase inicial da infecção, garantindo persistência e coleta de informações básicas do ambiente. Já o NeuralExecutor funciona como uma plataforma de controle modular, capaz de carregar extensões sob demanda e se adaptar a diferentes tipos de sistemas e redes corporativas. Essa estrutura torna o ataque altamente flexível e difícil de detectar por antivírus tradicionais.
Um dos aspectos mais sofisticados da operação é o uso de repositórios públicos no GitHub para ocultar os endereços de comando e controle (C2). Essa técnica, que aproveita plataformas legítimas para mascarar atividades maliciosas, dificulta o rastreamento da infraestrutura e reduz as chances de bloqueio automático por soluções de segurança. O grupo por trás da PassiveNeuron também usa servidores internos comprometidos como intermediários, o que permite movimentação lateral dentro da rede sem depender de conexões externas visíveis. Esse método é comum em campanhas de espionagem avançadas, nas quais o objetivo principal é permanecer oculto o maior tempo possível para coletar dados estratégicos.
