O grupo de ameaças ligado à China conhecido como Sharp Panda expandiu seu foco para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.

“A campanha adota o Cobalt Strike Beacon como carga útil, permitindo funcionalidades de backdoor como comunicação C2 e execução de comandos enquanto minimiza a exposição de suas ferramentas personalizadas”, disse a Check Point em um relatório compartilhado com o The Hacker News. “Esse enfoque refinado sugere um entendimento mais profundo de seus alvos.”

A empresa de cibersegurança israelense está rastreando a atividade sob um novo nome, Sharp Dragon, descrevendo o adversário como cuidadoso em sua mira, ao mesmo tempo em que amplia seus esforços de reconhecimento.

O adversário veio à tona em junho de 2021, quando foi detectado direcionando um governo do Sudeste Asiático para implantar um backdoor em sistemas Windows chamado VictoryDLL.

Ataques subsequentes montados por Sharp Dragon têm como alvo entidades governamentais de alto nível no Sudeste Asiático para entregar o framework de malware modular Soul, que é então usado para receber componentes adicionais de um servidor controlado pelo ator para facilitar a coleta de informações.

Evidências sugerem que o backdoor Soul está em desenvolvimento desde outubro de 2017, adotando recursos do Gh0st RAT – malware comumente associado a uma variedade de atores de ameaças chineses – e de outras ferramentas publicamente disponíveis.

Um conjunto de ataques atribuídos ao grupo de ameaças causou alarde, mirando funcionários governamentais de alto escalão de nações do G20 até junho de 2023, indicando um foco contínuo em órgãos governamentais para a coleta de informações.

Central para as operações da Sharp Panda está a exploração de falhas de segurança de 1 dia para infiltrar infraestruturas para posterior uso como servidores de comando e controle. Outro aspecto notável é o uso do framework de simulação de adversários legítimos Cobalt Strike em vez de backdoors personalizadas.

Além disso, o último conjunto de ataques direcionado aos governos da África e do Caribe demonstra uma expansão dos objetivos originais de ataque, com a operação envolvendo o uso de contas de e-mail de alto perfil comprometidas no Sudeste Asiático para enviar e-mails phishing para infectar novos alvos nas duas regiões.

Essas mensagens contêm anexos maliciosos que usam o formatador de texto rico Royal Road para baixar um downloader chamado 5.t, responsável por realizar reconhecimento e iniciar o Cobalt Strike Beacon, permitindo aos atacantes reunir informações sobre o ambiente de destino.

O uso do Cobalt Strike como backdoor não apenas minimiza a exposição de ferramentas personalizadas, mas também sugere uma “abordagem refinada para avaliação de alvos”, acrescentou a Check Point.

Em um sinal de que o grupo de ameaças está continuamente aprimorando suas táticas, sequências recentes de ataques foram observadas usando executáveis disfarçados como documentos para iniciar a infecção, ao invés de depender de um documento do Word que utiliza um modelo remoto para baixar um arquivo RTF com o Royal Road.

“A expansão estratégica da Sharp Dragon para a África e o Caribe significa um esforço mais amplo dos atores cibernéticos chineses para fortalecer sua presença e influência nessas regiões.”

As descobertas coincidem com o dia em que a Palo Alto Networks descobriu detalhes de uma campanha denominada Operação Diplomatic Specter que tem como alvo missões diplomáticas e governos no Oriente Médio, África e Ásia desde pelo menos o final de 2022. Os ataques foram vinculados a um grupo de ameaças chinês chamado TGR-STA-0043 (anteriormente CL-STA-0043).

As intrusões estratégicas sustentadas pelos atores de ameaças chineses na África contra setores industriais-chave, como provedores de serviços de telecomunicações, instituições financeiras e órgãos governamentais, se alinham com a agenda tecnológica do país na região, ligada ao seu projeto Digital Silk Road (DSR) anunciado em 2015.

Esses ataques se alinham de forma evidente com a agenda mais ampla de poder suave e tecnológico da China na região, focando em áreas críticas como o setor de telecomunicações, instituições financeiras e órgãos governamentais.

O desenvolvimento também segue um relatório da Mandiant, empresa da Google, que destacou o uso pela China de redes proxy conhecidas como redes de caixa de retransmissão operacional (ORBs) para obscurecer suas origens ao realizar operações de espionagem e alcançar maiores taxas de sucesso em ganhar e manter acesso a redes de alto valor.

“Construir redes de dispositivos comprometidos permite aos administradores de rede ORB aumentar facilmente o tamanho de sua rede ORB com pouco esforço e criar uma rede em malha em constante evolução que pode ser usada para ocultar operações de espionagem”, disse o pesquisador da Mandiant Michael Raggi.

Essas malhas de proxy consistem em servidores virtuais privados (VPSes) alugados comercialmente – ou seja, provisionados – ou roteadores e dispositivos de Internet das Coisas (IoT) comprometidos e em fim de vida útil de todo o mundo – ou seja, não provisionados – ou uma combinação de ambos, tornando a atribuição muito mais desafiadora e permitindo que adversários alvejem entidades de dispositivos que estão em proximidade geográfica.

Uma dessas redes, ORB3 (também conhecida como SPACEHOP), teria sido utilizada por vários grupos de ameaças chineses, incluindo APT5 e APT15, enquanto outra rede chamada FLORAHOX – que consiste em dispositivos recrutados pelo implante de roteador FLOWERWATER – foi utilizada pelo APT31.

“O uso de redes ORB para trafegar em uma rede comprometida não é uma tática nova, nem é exclusivo de atores de ciberespionagem chineses”, disse Raggi. “Acompanhamos os ataques de ciberespionagem chineses usando essas táticas como parte de uma evolução mais ampla em direção a operações mais propositadas, furtivas e eficazes.”