Um unico endereco de comando e controle ligado ao infostealer RedLine, detectado em uma porta alta nao padrao, acabou sendo o fio solto que desvendou toda uma operacao de phishing. Pesquisadores que partiram desse unico indicador, cruzando padroes de hospedagem, detalhes de certificados TLS e telemetria de sandbox, rastrearam ate um grupo de sete dominios recem-registrados criados com um unico proposito: se passar por empresas reais da cadeia de suprimentos maritima. O alvo da campanha era a Kangrim Heavy Industries, uma fabricante sul-coreana que detem mais de 60% do mercado mundial de caldeiras maritimas e industriais, e as iscas eram mensagens especificas sobre remessas, nao spam generico.
Os e-mails traziam arquivos ZIP maliciosos que entregavam o Formbook, um infostealer de longa data vendido como malware como servico, e o indicador do RedLine que deu inicio a investigacao estava ligado a mesma infraestrutura de entrega. Envios rastreados ate abril de 2026 sugerem que se tratava de infraestrutura ativa no momento em que os pesquisadores a encontraram, nao um ataque isolado.
Dominios Criados para Parecer Outra Empresa
Os sete dominios compartilhavam um padrao de nomenclatura: um nome de empresa abreviado combinado com o sufixo “llc” e um dominio de nivel superior barato, como acasiallc.shop, amdocsllc.shop e ansysllc.shop. Um deles, krysegroupllc.online, foi registrado em meados de 2025 especificamente para se passar pela Kryse Group, uma fornecedora real desse setor. Os sete estavam hospedados no mesmo provedor de infraestrutura, compartilhando marcas de hospedagem e certificados proximas o suficiente para que encontrar um significasse encontrar os demais.
Isso nao e falsificacao de dominio no sentido que o DMARC foi criado para impedir. Ninguem forjou o cabecalho “From” real da Kryse Group. Os atacantes registraram um dominio totalmente novo que apenas se parece com o nome da Kryse Group, montaram sua propria infraestrutura de e-mail por tras dele, e enviaram e-mails que se autenticam perfeitamente sob seus proprios registros SPF, DKIM e DMARC, porque e, tecnicamente, exatamente o que afirma ser: e-mail de krysegroupllc.online, enviado por quem controla krysegroupllc.online.
Por Que a Aplicacao do DMARC Nao Impediu Isso, e o Que Ela Conseguiu
Essa distincao importa, e vale a pena parar nela em vez de descarta-la como uma falha do DMARC. O DMARC protege um dominio de ser falsificado diretamente, de alguem forjar e-mail que afirma vir de kysegroup.com sem ser o dono. Ele nao impede, nem pode impedir por definicao, que alguem registre um dominio diferente que apenas se pareca e fale atraves dele de forma honesta.
Repare, porem, na escolha do atacante aqui. Eles nao tentaram falsificar o dominio real da Kryse Group. Construiram um parecido em vez disso. Isso nao e coincidencia; costuma ser a alternativa quando o dominio real ja fechou a via de falsificacao direta, ou quando a campanha e considerada mais facil de executar e mais dificil de rastrear por meio de infraestrutura nova que o atacante controla por completo. A autenticacao aplicada nos dominios reais dos fornecedores elevou o custo o suficiente para que os atacantes tomassem outro caminho. O ponto cego que resta e exatamente aquele que a aplicacao do DMARC nunca foi projetada para cobrir.
Fechando a Lacuna que o DMARC Deixa Aberta
Tres camadas praticas fecham essa lacuna restante sem esperar por um novo protocolo:
Monitorar dominios similares, nao apenas tentativas de falsificacao. Os relatorios agregados do DMARC dizem a um proprietario de dominio quem esta tentando enviar e-mail como se fosse ele. Eles nao dizem nada sobre os dominios no estilo acasiallc.shop registrados para se passar por ele ou por seus fornecedores pelo nome. Isso exige um monitoramento separado de dominio e marca, observando novos registros que combinem o nome da sua empresa ou o de um fornecedor proximo com sufixos comuns e dominios de nivel superior baratos.
Estender os requisitos de autenticacao para a cadeia de suprimentos. Uma empresa que aplica p=reject no proprio dominio fechou a via de falsificacao direta do proprio nome. Ainda nao fez nada pelos quarenta fornecedores, transportadoras e despachantes aduaneiros com quem troca documentacao de remessas, cada um dos quais e um nome que um atacante pode incorporar a um dominio parecido.
Verificar mudancas de pagamento e remessa fora de banda. Nenhum protocolo de autenticacao, presente ou futuro, substitui uma ligacao telefonica para um contato conhecido quando uma fatura, um numero de roteamento ou uma instrucao de entrega mudam no meio de uma transacao. Esse habito interrompe uma carga util de BEC construida para dominios similares com a mesma confiabilidade com que interrompe uma construida para falsificacao direta.
A Conclusao
Um unico endereco de C2 vazado desvendando sete dominios falsos e um lembrete de que o BEC na cadeia de suprimentos e uma operacao paciente e com muita infraestrutura, nao um palpite de sorte. Tambem e, olhando de perto, uma pequena evidencia de que a aplicacao do DMARC esta cumprindo seu papel na origem: os atacantes precisaram de sete novos dominios precisamente porque falsificar os reais diretamente ja nao era o caminho facil. O trabalho que ainda resta e vigiar os dominios parecidos que preenchem o espaco que a aplicacao deixa aberto.
Aplicar o DMARC no seu proprio dominio fecha a via de falsificacao direta, mas os atacantes vao procurar a proxima. Cadastre-se gratis no Excello Mail para levar seu dominio a aplicacao completa e obter a visibilidade de relatorios necessaria para ver quem esta testando seu nome.