O mundo da cibersegurança está em alerta após a Infoblox identificar o hacker Detour Dog como o principal responsável por uma sofisticada campanha de distribuição do malware Strela Stealer, um infostealer que vem ganhando força entre grupos de cibercriminosos.
De acordo com o relatório da Infoblox, o hacker utiliza uma rede de malware alimentada por DNS (Domain Name System) para hospedar e entregar o primeiro estágio do ataque, um backdoor simples chamado StarFish. A técnica representa uma evolução preocupante no uso do DNS como vetor de ataque.
Uma infraestrutura invisível e resiliente
A Infoblox monitora as atividades do Detour Dog desde agosto de 2023 e descobriu que o criminoso mantém controle direto sobre os domínios usados como ponto de partida para a disseminação do Strela Stealer.
Embora seu histórico remonte a fevereiro de 2020, seu modus operandi evoluiu significativamente.
No início, o hacker explorava sites WordPress comprometidos para redirecionar visitantes a golpes de publicidade e esquemas fraudulentos, usando registros DNS TXT como canal de comunicação. Agora, o Detour Dog transformou essa estrutura em um sistema de comando e controle (C2) capaz de executar código remoto via DNS — um avanço que torna a detecção ainda mais difícil.
Do StarFish ao Strela Stealer
A infraestrutura controlada pelo Detour Dog serve para entregar o StarFish, um shell reverso que prepara o terreno para o Strela Stealer — malware ligado ao grupo Hive0145, ativo desde 2022 e conhecido por vender acessos a sistemas comprometidos como Initial Access Broker (IAB).
A Infoblox identificou uma cadeia de ataque complexa, em que o Detour Dog atua como fornecedor de infraestrutura.
Cerca de 69% dos hosts de teste do StarFish estavam sob seu controle direto.
O spam usado para disseminar o Strela Stealer foi vinculado às botnets REM Proxy (alimentada pelo malware SystemBC) e Tofsee, contratadas para enviar as mensagens maliciosas.
“As botnets eram usadas para distribuir o spam, enquanto o Detour Dog era o responsável por hospedar e entregar o malware”, explicou Dra. Renée Burton, vice-presidente de inteligência de ameaças da Infoblox.
Sites WordPress e DNS como armas
O hacker adquire infraestrutura explorando vulnerabilidades em sites WordPress.
Esses sites comprometidos operam normalmente em 90% do tempo, redirecionam para golpes em 9% e executam comandos maliciosos em 1% dos acessos — uma tática deliberada para evitar detecção prolongada.
A evolução mais perigosa está na distribuição do Strela Stealer via registros DNS TXT.
Os servidores de nome sob o controle do Detour Dog foram modificados para analisar consultas DNS específicas e responder com comandos de execução remota codificados em Base64.
Um ataque em múltiplas camadas
A sequência de infecção segue um padrão engenhoso:
-
A vítima abre um documento malicioso.
-
O documento envia uma consulta DNS TXT para um servidor C2 controlado pelo hacker.
-
O servidor responde com um registro que contém a palavra “down” seguida da URL do servidor do Strela Stealer.
-
O site comprometido atua como retransmissor, baixando o downloader StarFish e, em seguida, o malware final.
Essa arquitetura permite que o invasor oculte sua identidade atrás de diversos sites comprometidos, aumentando a resiliência da operação e dificultando a investigação.
Ação das empresas de segurança
A Infoblox, em cooperação com a Shadowserver Foundation, conseguiu desativar dois domínios C2 usados pelo Detour Dog — webdmonitor[.]io e aeroarrows[.]io — em julho e agosto de 2025.
Segundo a empresa, esta é a primeira vez que o Detour Dog é flagrado distribuindo malware, marcando sua transição de golpes de redirecionamento de tráfego para ataques motivados financeiramente.
“Suspeitamos que ele tenha migrado de golpes de publicidade para a distribuição de malware por motivos econômicos”, afirmou Burton.
