Meer dan twintig Braziliaanse overheidswebsites werden gekaapt en op een actieve manier omgezet in kanalen voor het afleveren van malware PhantomEnigma campagne ontdekt door ANY.RUN, een toonaangevende leverancier van interactieve malware-analyse en oplossingen voor bedreigingsinformatie.
Het onderzoek bracht voorheen ongedocumenteerd achterdeurgedrag aan het licht, verborgen relaties met de infrastructuur en meerdere aanvalswapens achter een campagne die banken en overheidsinstanties in gevaar bracht.
Door honderden ogenschijnlijk niet-gerelateerde sandbox-sessies met elkaar te verbinden, hebben ANY.RUN-onderzoekers de bredere reikwijdte van de operatie blootgelegd en laten zien hoe vertrouwde .gov.br-links en geauthenticeerde e-mails ervoor zorgden dat de activiteit verborgen bleef.
Lees het volledige PhantomEnigma-onderzoeksrapport voor de volledige technische analyse, infrastructuurdetails, indicatoren en detectierichtlijnen
Vertrouwde overheidsinfrastructuur werd de lokmiddel
De aanval begon met valse documenten met een politiethema, gepresenteerd als officiële “Ofício Polícia Civil” of “Procuração Digital” mededelingen. Sommige bevatten QR-codes, terwijl andere de ontvangers doorverwezen naar links die bedoeld waren om op legitieme overheidsbronnen te lijken.
In verschillende gevallen werden de e-mails via gecompromitteerde mailboxen verzonden en werden de SPF-, DKIM- en DMARC-controles doorstaan. Dat gaf de berichten een sterkere schijn van legitimiteit dan gewone vervalste phishing-e-mails.
Slachtoffers werden vervolgens omgeleid via gecompromitteerde .gov.br-hosts of lookalike-domeinen met een politiethema voordat ze het kwaadaardige installatieprogramma bereikten. De overheidssystemen werden gebruikt als vertrouwde infrastructuur voor bezorging, en niet noodzakelijkerwijs als einddoel van de campagne.
Waargenomen regeringsgastheren
Onder de gecompromitteerde systemen die tijdens het onderzoek werden waargenomen, bevonden zich timon.ma.gov(.)br, loginam.sesp.es.gov(.)br (openbare staatsveiligheid), aplicacao.cbm.mt.gov(.)br (brandweer), prodoc.ap.gov(.)br en anderen.
Deze legitieme gemeentelijke, openbare veiligheids- en gerechtelijke portalen werden in verschillende stadia van de leveringsketen gebruikt. Verschillende verschenen ook in meer dan één PhantomEnigma-aanvalsarm, waardoor onderzoekers activiteiten konden verbinden die aanvankelijk niets met elkaar te maken hadden.
PhantomEnigma’s evolutie: twee wegen naar hardere detectie
De tijdlijn laat één operatie zien die zich langs twee hoofdpaden ontwikkelt:
Levering: PhantomEnigma stapte in 2025 over van bankgerichte activiteiten naar het misbruiken van gecompromitteerde .gov.br-websites en e-mailaccounts in 2026. Dit gaf de campagne een meer vertrouwde route naar slachtoffers zonder een nieuwe doelgroep te bevestigen.
Arsenaal: De malware evolueerde van een bankier met browserextensies naar een modulaire Inno/Node.js-achterdeur die JavaScript kan uitvoeren en extra payloads kan leveren.
Voor beveiligingsteams zorgt deze combinatie voor een ernstige zichtbaarheidskloof. Een vertrouwde infrastructuur vermindert argwaan, modulaire payloads kunnen na infectie veranderen en roterende C2-domeinen zorgen ervoor dat statische blokkeerlijsten snel achterhaald zijn. Gedragsanalyse en voortdurende jacht op bedreigingen zorgen voor een betrouwbaardere dekking naarmate de campagne zich ontwikkelt.
Van vertrouwde e-mail tot volledig compromis: de PhantomEnigma-aanvalsketen
Zodra een slachtoffer met het lokmiddel in aanraking kwam, verliep de campagne door een meerfasige infectieketen:
- Phishing-e-mail: Een neplokmiddel met een politiethema of een officieel document bereikt het slachtoffer.
- Vertrouwde infrastructuur: De link wordt omgeleid via een gecompromitteerde overheidshost of een lookalike-domein met een politiethema.
- Kwaadaardig installatieprogramma: Een Inno Setup, MSI of een ander installatieprogramma start de infectie.
- Patched Electron-toepassing: Legitieme software laadt een kwaadaardige index.js-achterdeur.
- Achterdeur activering: De malware verzamelt systeemgegevens, zorgt voor persistentie en maakt verbinding met de roterende C2-infrastructuur.
- Levering in tweede fase: De achterdeur voert JavaScript uit of levert stealers, laders, RMM-software en andere malware.
- Bedrijfsimpact: De infectie kan leiden tot het in gevaar brengen van inloggegevens, ongeoorloofde toegang, fraude, blootstelling aan gegevens en operationele verstoring.
Wat onderzoekers vonden in de achterdeur van PhantomEnigma
De sandbox-sessies lieten meer zien dan een simpele downloader. Verborgen in een gepatchte Boostnote en andere applicaties zat een modulaire index.js-achterdeur, gebouwd om geïnfecteerde machines te identificeren, toegang te behouden en op verzoek verschillende payloads te leveren.
Eenmaal geactiveerd kan de achterdeur:
- Verzamel de computernaam, gebruikersnaam en systeemgegevens van het slachtoffer
- Maak een persistent computer-ID en lees een campagnetag die naast het installatieprogramma is opgeslagen
- Zorg voor persistentie via de inloginstellingen
- Controleer elke 180 seconden op nieuwe opdrachten
- Voer JavaScript rechtstreeks uit via eval()
- Download en start uitvoerbare payloads
- Communiceer via meerdere bakenformaten in een roterende infrastructuur
Dankzij dit modulaire ontwerp kan de operator de uiteindelijke lading wijzigen zonder de hele infectieketen opnieuw op te bouwen. Een systeem dat in eerste instantie aan hetzelfde installatieprogramma werd blootgesteld, kan later een stealer, loader, tool voor extern beheer of een ander uitvoerbaar bestand ontvangen, waardoor zowel detectie als insluiting moeilijker wordt.
Een waarschuwing voor banken en overheidsinstanties
PhantomEnigma laat zien hoe aanvallers vertrouwde infrastructuur kunnen omzetten in een detectievoordeel. Een legitiem overheidsdomein, een geverifieerde e-mail of een schoon vonnis kunnen de argwaan verminderen, zelfs als de infectieketen al actief is.
Voor banken en organisaties uit de publieke sector reikt het risico verder dan één gecompromitteerd eindpunt. Gestolen inloggegevens en aanhoudende achterdeurtoegang kunnen interne systemen, gevoelige gegevens en financiële activiteiten blootleggen, terwijl gefragmenteerde waarschuwingen de insluiting vertragen.
Beveiligingsteams moeten werknemers een veilige manier bieden om verdachte, officieel ogende berichten te melden en deze verder te onderzoeken dan het aanvankelijke oordeel. Door vroegtijdig het vertrouwde lokaas te vangen, kunt u diefstal van inloggegevens, de levering van extra lading en een breder operationeel incident voorkomen.
Ontvang PhantomEnigma IOC’s, infrastructuurbevindingen en detectiebegeleiding om het opsporen en reageren op bedreigingen te versterken.
Toegang tot het volledige rapport