A Microsoft Threat Intelligence identificou uma campanha de ciberespionagem ativa conduzida pelo grupo russo Secret Blizzard (também conhecido como Turla, Snake ou KRYPTON), utilizando um backdoor personalizado designado BlankPage. 

A campanha, detetada desde junho de 2025 mas provavelmente iniciada em 2023, tem como alvos quase exclusivos ministérios dos negócios estrangeiros europeus e respetivas embaixadas, bem como um ministério asiático.

O Secret Blizzard é atribuído pela justiça americana à Unidade Militar 71330 do FSB russo (Centro 16), e é conhecido pela sua capacidade de manter presença prolongada e furtiva nas redes comprometidas.

Como funciona o BlankPage?

O backdoor apresenta duas variantes principais. A mais comum utiliza contas Microsoft controladas pelos atacantes para comunicar através da API do Microsoft Graph e do OneDrive — ou seja, o tráfego malicioso mistura-se com tráfego legítimo de serviços Microsoft, dificultando a deteção. A variante menos comum instala um listener HTTP local que aceita ligações externas com um prefixo específico.

Em vários casos, foram instaladas múltiplas versões do BlankPage na mesma organização — em servidores Exchange, dispositivos de utilizadores e servidores virtualizados — garantindo redundância no acesso.

Técnicas utilizadas:

O malware recorre a um conjunto sofisticado de técnicas para persistir e escapar à deteção, incluindo agendamento de tarefas, modificação do registo do Windows, DLL hijacking, ofuscação de código com a ferramenta ConfuserEx, e carregamento de código diretamente em memória (sem deixar ficheiros no disco). Recolhe informação sobre o sistema, processos ativos, nomes de utilizadores e endereços MAC, e exfiltra dados pelos mesmos canais de comando e controlo.

O que é que as organizações devem fazer?

As recomendações da Microsoft incluem ativar proteção em tempo real e proteção contra adulteração no Microsoft Defender, correr o EDR em modo de bloqueio, aplicar o princípio do mínimo privilégio, usar autenticação multifator e auditar contas privilegiadas. O malware é detetado como Backdoor:MSIL/BlankPage.

Conselhos práticos, organizados por prioridade e adaptados a um contexto institucional português:

Conselhos práticos para organizações

Identidade e acessos

Implementar autenticação multifator em todas as contas, sem exceção, com prioridade para contas com privilégios administrativos. Auditar regularmente quem tem acesso a quê — contas inativas, permissões excessivas e contas de serviço com privilégios de administrador de domínio são vetores de ataque frequentes. Eliminar ou restringir contas locais de administrador nos dispositivos de utilizadores.

Proteção de endpoints

Garantir que a solução de deteção e resposta em endpoints (EDR) está ativa e em modo de bloqueio — não apenas em modo de monitorização. Ativar proteção contra adulteração para que o malware não consiga desativar o antivírus. Verificar se existem dispositivos com proteção desativada ou com exclusões de análise configuradas — estas são as primeiras coisas que um atacante explora.

Monitorização de rede

Monitorizar ligações de saída para serviços de cloud legítimos como OneDrive, Google Drive ou Dropbox. Tráfego inesperadamente elevado para estes serviços pode indicar exfiltração de dados. Neste caso específico, pesquisar nos logs ligações a URLs com o padrão /OAB/BOOK/ na porta 443.

Gestão de privilégios

Não utilizar contas de administrador de domínio para tarefas do dia a dia. Limitar o uso de contas de serviço com privilégios elevados — o Secret Blizzard explorou precisamente servidores SCCM para se mover lateralmente por toda a rede. Quanto menos contas com privilégios existirem, menor a superfície de ataque.

Servidores críticos

Prestar atenção redobrada a servidores de Exchange, servidores de gestão de configurações (tipo SCCM/Intune) e servidores de virtualização — foram os alvos preferenciais nesta campanha. Garantir que estes sistemas têm monitorização ativa e que os alertas chegam a alguém que os analisa.

Os ficheiros suspeitos associados incluem vmtools.xml.bak, serviceupdateschedule.xml.bak, xmllite.dll, MSVCP140.dll e g22dkpno.dat.

O aviso mais importante

O Secret Blizzard não entra e sai rapidamente: o objetivo é permanecer invisível durante meses ou anos. Uma organização comprometida pode não ter nenhum sintoma visível. A deteção tardia é a norma, não a exceção. Por isso, a monitorização contínua e a capacidade de resposta a incidentes valem mais do que qualquer ferramenta de prevenção isolada.