update Atualizado em 01/04/2026, às 13: 42 O Google Threat Intelligence Group (GTIG) publicou nesta quarta-feira (1°) a atribuição formal do ataque à cadeia de suprimentos do axios, reportado pelo Tec Mundo na última segunda-feira (30).

O responsável é o UNC1069, grupo com ligações à Coreia do Norte ativo desde pelo menos 2018.

A conclusão é baseada na análise do malware implantado e da infraestrutura de comando e controle usada no ataque.

As cargas entregues pelo dropper às máquinas comprometidas instalam o WAVESHAPER.

V2, uma versão atualizada de um backdoor para mac OS e Linux anteriormente atribuído ao UNC1069.

A nova versão expande o escopo, usando variantes escritas em C++, Power Shell e Python, cobrindo Windows, mac OS e Linux.

V2 é um trojan de acesso remoto, que permite ao invasor controlar a máquina infectada à distância e executar comandos nela.

A cada 60 segundos, o implante bate no servidor dos atacantes aguardando instruções.

Esse sinal carrega uma assinatura digital característica que o GTIG reconheceu de operações anteriores do UNC1069 e usou como uma das provas de atribuição.

As capacidades incluem reconhecimento de sistema, de funções como hostname, usuário, timezone, lista de processos em execução.

Também inclui execução de comandos arbitrários via shell ou injeção de PE na memória, e enumeração recursiva do sistema de arquivos.