Entidades governamentais no Oriente Médio, África e Ásia são o alvo de um grupo chinês de ameaças persistentes avançadas (APT) como parte de uma campanha contínua de espionagem cibernética denominada Operação Diplomatic Specter desde pelo menos o final de 2022.
“Uma análise da atividade deste ator de ameaças revela operações de espionagem de longo prazo contra pelo menos sete entidades governamentais”, disseram os pesquisadores da Palo Alto Networks Unit 42, Lior Rochberger e Daniel Frank, em um relatório compartilhado com The Hacker News.
“O ator de ameaças realizou esforços coletivos de coleta de inteligência em grande escala, aproveitando técnicas raras de exfiltração de e-mails contra servidores comprometidos.”
A empresa de segurança cibernética, que rastreou anteriormente o cluster de atividades sob o nome CL-STA-0043, disse que está graduando-o para um grupo temporário de atores codinome TGR-STA-0043 devido à sua avaliação de que o conjunto de intrusão é obra de um único ator operando em nome dos interesses alinhados ao estado chinês.
Os alvos dos ataques incluem missões diplomáticas e econômicas, embaixadas, operações militares, reuniões políticas, ministérios dos países-alvo e autoridades de alto escalão.
CL-STA-0043 foi primeiro documentado em junho de 2023 como alvo de agências governamentais no Oriente Médio e África usando técnicas raras de roubo de credenciais e exfiltração de e-mails do Exchange.
Uma análise subsequente da Unit 42 no final do ano passado descobriu sobreposições entre CL-STA-0043 e CL-STA-0002 decorrentes do uso de um programa chamado Ntospy (também conhecido como NPPSpy) para operações de roubo de credenciais. A Unit 42 disse ao The Hacker News que os dois clusters são diferentes, mas têm sobreposições e estão conectados entre si.
Cadeias de ataques orquestradas pelo grupo envolveram um conjunto de backdoors previamente não documentados, como TunnelSpecter e SweetSpecter, que são ambas variantes do infame Gh0st RAT, uma ferramenta amplamente utilizada em campanhas de espionagem orquestradas por hackers do governo de Pequim.
TunnelSpecter recebeu seu nome do uso de tunelamento DNS para exfiltração de dados, dando-lhe uma camada extra de sigilo. SweetSpecter, por outro lado, é assim chamado por suas semelhanças com SugarGh0st RAT, outra variante personalizada de Gh0st RAT que foi colocada em uso por um ator de ameaças suspeito de falar chinês desde agosto de 2023.
Ambos os backdoors permitem ao adversário manter acesso furtivo às redes de seus alvos, juntamente com a capacidade de executar comandos arbitrários, exfiltrar dados e implantar mais malwares e ferramentas nos hosts infectados.
“O ator de ameaças parece monitorar de perto os desenvolvimentos geopolíticos contemporâneos, tentando exfiltrar informações diariamente”, disseram os pesquisadores.
Isso é percebido por meio de esforços direcionados para se infiltrar nos servidores de e-mail dos alvos e procurar informações de interesse, em alguns casos tentando repetidamente retomar o acesso quando as atividades dos atacantes foram detectadas e interrompidas. O acesso inicial é obtido pela exploração de falhas conhecidas nos servidores Exchange, como ProxyLogon e ProxyShell.
“O ator de ameaças procurou por palavras-chave específicas e exfiltrou tudo o que podia encontrar relacionado a elas, como caixas de correio arquivadas inteiras pertencentes a missões diplomáticas ou indivíduos específicos”, apontaram os pesquisadores. “O ator de ameaças também exfiltrou arquivos relacionados aos temas que estavam procurando.”
As ligações chinesas com a Operação Diplomatic Specter derivam também do uso exclusivo de infraestrutura operacional por grupos afiliados à China como APT27, Mustang Panda e Winnti, além de ferramentas como o shell web China Chopper e PlugX.
“As técnicas de exfiltração observadas como parte da Operação Diplomatic Specter fornecem uma janela distinta para os possíveis objetivos estratégicos do ator de ameaças por trás dos ataques”, concluíram os pesquisadores.
“O ator de ameaças procurou informações altamente sensíveis, abrangendo detalhes sobre operações militares, missões diplomáticas e embaixadas e ministérios das relações exteriores.”