Cloudflare Tunnels Malware Campaign SERPENTINE
New Malware Campaign Uses Cloudflare Tunnels to Deliver RATs via Phishing Chains
https://thehackernews.com/2025/06/new-malware-campaign-uses-cloudflare.html [Photo]
Lembram aquele post que fiz aqui sobre a criação de túneis do Cloudflare que facilitou pra gente expor um serviço local na internet rapidamente usando um domínio trycloudflare.com para testes, como em cenários de SSRF onde precisávamos de um endpoint público sem banners ou restrições de headers?
Pois é, os atacantes estão utilizando essa mesmíssima funcionalidade do Cloudflare para se camuflar na confiabilidade dessa organização para hospedar seus payloads maliciosos e infraestrutura de comando e controle, tornando a detecção e o bloqueio de suas atividades bem mais complicados para as equipes de defesa.
A campanha SERPENTINE#CLOUD exemplifica isso: e-mails de phishing com ZIPs contêm arquivos .LNK disfarçados. Estes, ao abertos, baixam um Windows Script File (WSF) de um WebDAV em subdomínio Cloudflare Tunnel. O WSF aciona um .BAT de outro domínio Cloudflare, que exibe um PDF chamariz, verifica AV, e baixa/executa loaders Python. Esses loaders usam o empacotador Donut para injetar RATs (como AsyncRAT, Revenge RAT) diretamente na memória, evadindo detecção.
Usar *.trycloudflare.com é estratégico: o tráfego pela infraestrutura legítima do Cloudflare dificulta a distinção entre atividades benignas e maliciosas, permitindo contornar bloqueios de URL/domínio e operar sem C2 tradicional. A campanha (EUA, UK, DE, etc.) evoluiu de arquivos .URL para .LNK e já foi associada à distribuição de GuLoader, PureLogs Stealer, Remcos RAT e XWorm.