Amazon Vira Detetive e Desvenda Ataques a Sistemas Críticos

Em um movimento digno de um filme de espionagem digital, a equipe de inteligência de ameaças da Amazon anunciou nesta quarta-feira (12) a descoberta de uma campanha de ciberataques sofisticada. Utilizando sua engenhosa rede de armadilhas digitais, conhecida como Madpot, a gigante da tecnologia identificou a exploração de duas vulnerabilidades até então desconhecidas, ou 'zero-day', em softwares essenciais da Cisco e da Citrix. Os invasores, descritos como um "ator de ameaças avançado", usaram essas brechas para instalar um malware feito sob medida, acendendo um grande alerta na indústria de segurança.

Segundo CJ Moses, Diretor de Segurança da Informação (CISO) da Amazon, a descoberta, detalhada em um relatório compartilhado com a BleepingComputer, confirma uma tendência preocupante: o foco dos cibercriminosos em infraestruturas críticas de identidade e controle de acesso, os verdadeiros porteiros do mundo digital corporativo.

A Toca do Coelho Digital da Amazon

Para entender como a Amazon pegou os hackers no pulo, é preciso falar sobre a Madpot. Pense nela como uma rede de potes de mel (honeypots) digitais, sistemas intencionalmente vulneráveis espalhados pela internet para atrair e estudar as táticas dos invasores. Foi nesse cenário que a Amazon detectou tentativas de exploração da falha da Citrix antes mesmo que ela fosse publicamente revelada. Ao puxar o fio da meada, a investigação levou a equipe a um segundo alvo: um payload anômalo direcionado a um ponto final não documentado no software da Cisco.

Essa abordagem proativa permitiu não apenas identificar a ameaça, mas também compartilhar as informações com a Cisco, que pôde então investigar e desenvolver as correções necessárias. É a arqueologia digital em seu estado mais puro: cavar em busca de artefatos maliciosos para entender como os invasores operam.

As Vítimas: Citrix Bleed 2 e um Fantasma na Cisco

Os ataques exploraram duas falhas de segurança de alto impacto, ambas transformadas em armas antes que a maioria dos administradores de sistema soubesse de sua existência. São elas:

  • CVE-2025-5777 (Apelidada de Citrix Bleed 2): Com uma pontuação de severidade de 9.3 (CVSS), esta vulnerabilidade no NetScaler ADC e Gateway da Citrix está relacionada a uma validação de inputs insuficiente, permitindo que um invasor remoto lesse informações da memória do sistema, burlasse a autenticação e potencialmente sequestrasse sessões de usuários. A Citrix corrigiu a falha em junho.
  • CVE-2025-20337 (Cisco ISE): Esta recebeu a nota máxima de periculosidade, 10.0 (CVSS). A falha no Identity Service Engine (ISE) da Cisco permitia que um invasor não autenticado executasse código remotamente com privilégios de 'root' — o nível mais alto de acesso em um sistema. Em outras palavras, era como entregar a chave mestra do prédio. A Cisco liberou a correção em julho.

O fato de um mesmo grupo ter acesso a duas vulnerabilidades zero-day em produtos de empresas diferentes é, segundo a Amazon, um forte indicativo de um "ator de ameaças altamente financiado e com capacidades avançadas de pesquisa".

Um Malware Feito Sob Medida

O que realmente diferencia este ataque é o malware implantado. Longe de ser um código malicioso genérico, os invasores utilizaram um web shell customizado batizado de 'IdentityAuditAction', cuidadosamente disfarçado como um componente legítimo do sistema da Cisco. Segundo o relatório da Amazon, o malware exibia um nível de sofisticação impressionante.

Ele operava inteiramente na memória, deixando artefatos forenses mínimos no disco, o que torna sua detecção um pesadelo. Além disso, usava uma técnica chamada 'reflexão Java' para se injetar em processos existentes do servidor Tomcat. É como se o malware olhasse no espelho e se transformasse no que quisesse ser para passar despercebido. Uma piada de mau gosto para os analistas de segurança.

Para completar o disfarce, a comunicação do malware era protegida com criptografia DES e uma codificação Base64 não padrão, e só podia ser acessado com o conhecimento de cabeçalhos HTTP específicos. Isso tudo demonstra um conhecimento profundo não só de aplicações Java e do servidor Tomcat, mas da arquitetura interna do próprio Cisco ISE. Não era um script de criança, era uma obra de arte do cibercrime.

Um Alerta para o Futuro

Embora a Amazon não tenha conseguido atribuir os ataques a um grupo específico, a complexidade e o uso de múltiplas falhas zero-day são frequentemente associados a grupos patrocinados por governos. A boa notícia é que as vulnerabilidades já foram corrigidas pela Cisco e pela Citrix. A má notícia é que o episódio serve como um lembrete sombrio de que, no jogo de gato e rato da cibersegurança, os ratos estão cada vez mais inteligentes e bem equipados.

A recomendação final, ecoada por especialistas, é clara: aplicar as atualizações de segurança disponíveis o mais rápido possível e reforçar as defesas em camadas, limitando o acesso a dispositivos de borda da rede. Afinal, como esta descoberta prova, às vezes os sistemas que nos protegem são os que mais precisam de proteção.