O Google Threat Intelligence Group (GTIG), em parceria com a Mandiant, revelou uma campanha cibernética sofisticada que vem explorando dispositivos SonicWall Secure Mobile Access (SMA) 100 series já fora de suporte (“end-of-life”). A operação, atribuída ao grupo UNC6148, tem como principal arma um backdoor personalizado, batizado de OVERSTEP, capaz de manter acesso privilegiado mesmo após a aplicação de patches de segurança.
Segundo os pesquisadores, o grupo — ativo desde outubro de 2024 — utiliza credenciais e chaves OTP (One-Time Password) roubadas em ataques anteriores para invadir e controlar redes corporativas. Um dos alvos chegou a ter dados publicados no site de vazamentos World Leaks, levantando a hipótese de motivação financeira e até mesmo conexão com a gangue de ransomware Abyss.
O OVERSTEP se destaca por modificar o processo de inicialização dos dispositivos SonicWall, garantindo acesso persistente, roubo de credenciais e ocultação de atividades, inclusive por meio da remoção de registros de log — o que dificulta a análise forense.
Embora o foco inicial seja a falha CVE-2024-38475, os especialistas alertam que outros bugs conhecidos (CVE-2021-20038, CVE-2021-20035, CVE-2021-20039, CVE-2025-32819) e até mesmo um possível zero-day podem ter sido explorados.
O que fazer?
A SonicWall recomenda que administradores redefinam todas as associações de OTP para invalidar segredos comprometidos e apliquem todas as atualizações disponíveis. Mas, por se tratar de dispositivos sem suporte, o risco permanece elevado.
Para o Google e a Mandiant, os ataques do UNC6148 evidenciam a necessidade de substituir dispositivos fora de suporte e reforçar políticas de autenticação e monitoramento contínuo.
