Pesquisadores de cibersegurança divulgaram detalhes de um grupo de ameaças anteriormente não documentado chamado Nevoeiro Marinho Perene, que se acredita estar ativo desde 2018.

A invasão foi direcionada a organizações de alto nível em países do Mar da China Meridional, especialmente alvos militares e governamentais, disse a Bitdefender em um relatório compartilhado com o The Hacker News.

“A investigação revelou uma tendência preocupante além do contexto histórico”, disse Martin Zugec, diretor de soluções técnicas da Bitdefender, acrescentando que identificou um total de oito vítimas até o momento.

“Notavelmente, os atacantes recuperaram repetidamente o acesso aos sistemas comprometidos. Essa exploração destaca uma vulnerabilidade crítica: higiene ruim de credenciais e práticas inadequadas de correção em dispositivos e serviços web expostos.”

Há indícios de que o ator de ameaças por trás dos ataques está operando com objetivos alinhados aos interesses chineses, apesar de as assinaturas do ataque não se sobrepor com as de qualquer grupo de hackers conhecido.

Isso inclui o perfil de vítimas, com países como as Filipinas e outras organizações no Pacífico Sul anteriormente alvos do ator Mustang Panda, ligado à China.

Também usadas nos ataques são várias iterações do malware Gh0st RAT, um trojan de commodity conhecido por ser usado por atores de ameaças de língua chinesa.

“Uma técnica específica utilizada pelo Nevoeiro Marinho Perene – executar código JScript por meio de uma ferramenta chamada SharpJSHandler – se assemelha a um recurso encontrado na backdoor ‘FunnySwitch’, que foi vinculada ao APT41”, disse a Bitdefender. “Ambos envolvem carregar assemblies .NET e executar código JScript. No entanto, essa foi uma semelhança isolada.”

A via exata de acesso inicial usada para infiltrar os alvos ainda não é conhecida. No entanto, foi observado que o Nevoeiro Marinho Perene recuperou o acesso às mesmas entidades por meio de e-mails de spear-phishing contendo arquivos armadilhados.