Pesquisadores de segurança revelaram uma nova e preocupante ameaça cibernética: o ChaosBot, um backdoor desenvolvido na linguagem Rust que permite aos hackers realizar reconhecimento de rede e executar comandos arbitrários em sistemas comprometidos. O malware utiliza canais da plataforma Discord para comunicação e controle (C2), tornando suas operações mais difíceis de detectar.
A empresa canadense eSentire detectou o ChaosBot pela primeira vez no final de setembro de 2025 em um cliente do setor de serviços financeiros. Segundo o relatório técnico divulgado, os invasores exploraram credenciais de VPN Cisco e contas Active Directory com privilégios excessivos, utilizando o Windows Management Instrumentation (WMI) para executar comandos remotos e instalar o malware.
O método de C2 do ChaosBot é notável: ele interage com contas do Discord mantidas pelo hacker, incluindo o perfil “chaos_00019”, responsável por enviar instruções remotas, e a conta “lovebb0024”, associada às operações. Além disso, o malware também foi distribuído por mensagens de phishing contendo arquivos de atalho maliciosos (.LNK) que executam comandos PowerShell para baixar e instalar o backdoor. Para enganar a vítima, um falso PDF do Banco Estatal do Vietnã era exibido simultaneamente.
A carga maliciosa principal é uma DLL chamada “msedge_elf.dll”, carregada lateralmente via binário do Microsoft Edge (“identity_helper.exe”). Após a execução, o ChaosBot realiza reconhecimento do sistema, instala um proxy reverso rápido (FRP) e mantém acesso persistente. O backdoor permite receber comandos como shell (PowerShell), captura de tela, download e upload, utilizando canais do Discord nomeados com o computador da vítima.
Pesquisadores alertam para variantes recentes do ChaosBot com técnicas avançadas de evasão, como patching de instruções para contornar o Rastreamento de Eventos do Windows (ETW) e detecção de máquinas virtuais (VMware ou VirtualBox), interrompendo a execução quando detectadas.
Paralelamente, o Fortinet FortiGuard Labs identificou uma nova variante do ransomware Chaos, reescrita em C++, com recursos destrutivos inéditos: arquivos maiores que 1,3 GB podem ser apagados permanentemente, e um sequestro de área de transferência substitui endereços de Bitcoin copiados pela vítima por carteiras controladas pelos hackers, desviando transferências de criptomoedas.
O Chaos-C++ é distribuído sob falsos utilitários de sistema, como o System Optimizer v2.1, ou aplicativos fraudulentos, incluindo versões falsas do OpenAI ChatGPT e do InVideo AI. Segundo a Fortinet, “essa combinação de criptografia destrutiva e roubo financeiro secreto transforma o Chaos em uma ameaça multifacetada e agressiva, projetada para maximizar ganhos ilícitos”.
