Há mais de oito meses, um agente de ameaças vem utilizando um backdoor destrutivo e um wiper com múltiplos recursos de sabotagem em nível de sistema, segundo a Microsoft.
Batizado de GigaWiper, o malware é um backdoor sofisticado baseado em Go (linguagem de programação) que reúne diversas famílias de malware e conta com capacidades robustas de comando e controle (C&C).
De acordo com a Microsoft, os componentes maliciosos do GigaWiper foram integrados na forma de comandos de backdoor sob demanda, permitindo ao atacante executar um wiper autônomo, um comando de criptografia estilo ransomware e um comando de limpeza que realiza múltiplas passagens de apagamento.
"A consolidação de múltiplos recursos destrutivos em um backdoor modular representa uma mudança significativa no cenário de malwares do tipo wiper, que normalmente são projetados apenas para destruir, e não para extorquir e causar consequências reais", destaca a Microsoft.
Observado pela primeira vez em outubro de 2025, o GigaWiper contém um wiper que opera no nível físico do disco. Ele enumera as unidades usando a WMI (Instrumentação de Gerenciamento do Windows) para identificar a partição do Windows, remove referências de partições de unidades que não são do Windows, apaga cada unidade e, em seguida, reinicia o sistema.
O componente de backdoor do GigaWiper também contém a mesma funcionalidade de limpeza, incluindo fluxo de código e nomes de funções idênticos. Além disso, ele estabelece persistência e comunicação C&C usando RabbitMQ e Redis.
Com base nos comandos recebidos, ele pode executar o wiper, acionar uma Tela Azul da Morte (BSOD), enviar arquivos para um servidor remoto usando o MinIO Client, rodar um executável, executar comandos PowerShell, capturar screenshots, gravar a tela, coletar informações do sistema e acionar um comando para apagar a instalação do Windows.
O backdoor também oferece suporte a dois comandos de criptografia de arquivos: um é destrutivo, pois usa chaves de criptografia aleatórias que nunca são salvas, enquanto o outro tem como alvo arquivos em massa para criptografia e descriptografia.
Além disso, o GigaWiper pode executar diversos gerenciadores de processos, registro, rotas do RabbitMQ e serviços, limpar logs do Windows e iniciar um servidor para fornecer aos atacantes controle remoto sobre o sistema infectado.
Os comandos de limpeza implementados no backdoor vêm de malwares mais antigos e separados, previamente utilizados pelo agente de ameaças, costurados no mesmo implante com capacidades adicionais de backdoor.
O GigaWiper parece ter sido desenvolvido pelo autor do ransomware Crucio, com base no código de criptografia, mas também apresenta conexões com o FlockWiper, que surgiu em junho de 2025, compartilhando uma função de limpeza idêntica portada para Go.
"O GigaWiper é um backdoor com amplas capacidades operacionais que permitem a um agente de ameaças manter o controle sobre sistemas infectados, executar comandos, implantar ferramentas adicionais e, por fim, acionar um dos múltiplos comandos destrutivos sob demanda. Ele permite que o agente de ameaças opere com flexibilidade, viabilizando tanto atividades silenciosas de espionagem quanto operações destrutivas de limpeza", destaca a Microsoft.