Imagine descobrir que um grupo de hackers manteve acesso escondido ao seu sistema por anos, pronto para ativar comandos e roubar informações críticas. Foi exatamente isso que a Intezer e a Solis Security revelaram sobre o Grupo XE, um coletivo de cibercriminosos que agora está explorando uma Zero-Day no VeraCore para implantar web shells persistentes em cadeias de suprimentos estratégicas.

Essa operação marca uma virada na atuação do grupo: de clonagem de cartões no passado para ataques sofisticados direcionados à manufatura e à distribuição. Vamos mergulhar nos detalhes dessa campanha.

Quem é o Grupo XE?

Ativo desde pelo menos 2010 e possivelmente de origem vietnamita, o Grupo XE ficou conhecido por clonagem de cartões de crédito. Mas, de acordo com especialistas, sua abordagem mudou radicalmente: agora eles exploram falhas inéditas (Zero-Days) para atingir alvos de alto valor.

Segundo Nicole Fishbein, Joakim Kennedy e Justin Lentz, “a capacidade deles de manter acesso persistente aos sistemas, como visto na reativação de shells anos após a implantação inicial, mostra o comprometimento do grupo com objetivos de longo prazo”.

As vulnerabilidades exploradas

O ataque mais recente do Grupo XE encadeia múltiplas falhas em produtos amplamente usados. Veja as principais:

  • CVE-2024-57968 (CVSS 9,9) – Upload irrestrito de arquivos em VeraCore, permitindo que usuários autenticados façam upload de arquivos perigosos em pastas indevidas. Corrigido na versão 2024.4.2.1.
  • CVE-2025-25181 (CVSS 5,8) – Injeção de SQL em VeraCore que possibilita execução de comandos arbitrários no banco de dados. Sem patch disponível até o momento.

Essas falhas foram exploradas em cadeia para implantar o ASPXSpy, um web shell capaz de:

  • Enumerar diretórios e arquivos
  • Exfiltrar dados e compactá-los (via 7z)
  • Derrubar cargas do Meterpreter para conexão reversa
  • Executar consultas SQL e modificar registros

Como funciona o ataque

A exploração foi observada inicialmente em novembro de 2024. Ao abusar da injeção de SQL (CVE-2025-25181), os atacantes implantaram web shells ASPXSpy, mantendo acesso remoto invisível.

Os servidores comprometidos então passaram a se conectar ao endereço 222.253.102[.]94:7979 controlado pelo Grupo XE, usando Meterpreter como canal de comunicação.

A estratégia é clara: manter acesso persistente, mapear redes inteiras e, quando conveniente, exfiltrar ou manipular dados críticos da cadeia de suprimentos.

Histórico de ataques do Grupo XE

Não é a primeira vez que o Grupo XE explora vulnerabilidades em softwares populares. Antes do caso VeraCore, eles já haviam utilizado falhas conhecidas no Telerik UI para ASP.NET:

  • CVE-2017-9248 (CVSS 9,8)
  • CVE-2019-18935 (CVSS 9,8) – considerada uma das vulnerabilidades mais exploradas em 2021 por agências de cibersegurança dos EUA e Reino Unido.

No mês passado, o CVE-2019-18935 voltou a ser usado para implantar shells reversos e realizar comandos de reconhecimento via cmd.exe. Isso mostra que mesmo falhas antigas continuam sendo exploradas quando não corrigidas.

CISA adiciona novas falhas ao catálogo KEV

Enquanto o Grupo XE avança com o Zero-Day do VeraCore, a CISA (Agência de Segurança Cibernética dos EUA) adicionou novas vulnerabilidades críticas ao catálogo KEV (Known Exploited Vulnerabilities):

CVE Produto Impacto
CVE-2025-0411 7-Zip Web Desvio de marca (explorado por grupos russos com SmokeLoader)
CVE-2022-23748 Dante Discovery Controle de processo (explorado pelo grupo ToddyCat)
CVE-2024-21413 Microsoft Outlook Validação de entrada imprópria
CVE-2020-29574 CyberoamOS Injeção de SQL (campanhas chinesas – Pacific Rim)
CVE-2020-15069 Sophos XG Firewall Estouro de buffer

As agências federais dos EUA têm até 27 de fevereiro de 2025 para aplicar patches em conformidade com a BOD 22-01, reforçando o alerta global sobre a gravidade desses ataques.

Reflexão final

O caso do Grupo XE explorando o Zero-Day do VeraCore mostra como o cenário de ameaças evoluiu. Se antes falhas antigas eram suficientes, hoje vemos grupos capazes de investir em vulnerabilidades inéditas para atingir cadeias de suprimentos inteiras.

A lição é clara: aplicar patches, monitorar continuamente e revisar acessos não são apenas boas práticas, mas requisitos de sobrevivência digital. Afinal, como vimos, um web shell pode permanecer escondido por anos — pronto para ser reativado a qualquer momento.


O Futuro do seu Site Começa com um Teste Grátis!

Na Hostbung, seu projeto encontra tudo o que precisa para crescer e permanecer online, 24 horas por dia. Mais do que uma provedora de hospedagem de sites com infraestrutura de ponta, somos uma parceira em todas as etapas da sua jornada digital.
Acreditamos em facilitar sua vida e em construir uma comunidade que realmente faz a diferença. Queremos que você faça parte disso! Por isso, estamos oferecendo uma Hospedagem de site com 30 dias grátis, ou Revenda de hospedagem com 30 dias grátis para você conhecer nosso serviço sem nenhum compromisso.