Para manter seus backdoors ativos em servidores comprometidos, o xHunt cria tarefas agendadas específicas que executam scripts maliciosos em intervalos regulares, abusando do Agendador de Tarefas do Windows.
Um dos comandos observados cria uma tarefa planejada de SystemDataProvider, executando com privilégios de SYSTEM para rodar o backdoor Snugy a partir de um script PowerShell armazenado em C:WindowsTemp, o que garante persistência com alto nível de privilégio.
Além disso, os operadores do grupo aplicam técnicas de mascaramento para dificultar a detecção em ambientes corporativos.
Eles posicionam tarefas em diretórios associados à Infraestrutura de Diagnóstico do Windows e usam nomes como ResolutionHosts e ResolutionsHosts, imitando arquivos e componentes legítimos do sistema para enganar administradores e ferramentas de monitoramento.
Essas táticas de evasão se somam ao uso intensivo de tuneis SSH para transferência lateral, muitas vezes configuradas para encaminhar portas de serviços internos como RDP e IIS através de máquinas comprometidas.
Com essa combinação de persistência via tarefas agendadas, mascaramento de artefatos e túneis criptografados, o xHunt se torna uma ameaça resiliente e furtiva, exigindo monitoramento comportamental aprofundado e aprimoramento de eventos para ser identificado com eficácia.
