Pesquisadores de segurança cibernética divulgaram detalhes de um grupo de ameaças chamado Unfading Sea Haze, que se acredita estar ativo desde 2018.

A intrusão mirou organizações de alto nível em países do Mar do Sul da China, principalmente alvos militares e governamentais, disse a Bitdefender em um relatório compartilhado com o The Hacker News.

“A investigação revelou uma tendência preocupante além do contexto histórico”, disse Martin Zugec, diretor de soluções técnicas da Bitdefender, acrescentando que identificou um total de oito vítimas até o momento.

“Notavelmente, os invasores recuperaram repetidamente o acesso aos sistemas comprometidos. Essa exploração destaca uma vulnerabilidade crítica: má higiene de credenciais e práticas inadequadas de patch em dispositivos expostos e serviços da web”.

Há indicações de que o ator de ameaças por trás dos ataques esteja operando com objetivos alinhados aos interesses chineses, apesar de as assinaturas dos ataques não se sobreporem a nenhuma equipe de hackers conhecida.

Isso inclui o perfil de vítima, com países como Filipinas e outras organizações do Pacífico Sul anteriormente visadas pelo ator Mustang Panda ligado à China.

Também são usadas nas operações várias iterações do malware Gh0st RAT, um trojan de commoditização conhecido por ser usado por atores de ameaças de língua chinesa.

“Uma técnica específica empregada pelo Unfading Sea Haze – executar código JScript por meio de uma ferramenta chamada SharpJSHandler – se assemelha a um recurso encontrado no backdoor ‘FunnySwitch’, que foi vinculado ao APT41”, disse a Bitdefender. “Ambos envolvem carregar assemblies .NET e executar código JScript. No entanto, essa foi uma similaridade isolada”.

O caminho exato de acesso inicial usado para infiltrar os alvos ainda não é conhecido, embora, em uma reviravolta interessante, o Unfading Sea Haze tenha sido observado recuperando o acesso às mesmas entidades por meio de e-mails de spear-phishing contendo arquivos armadilhados.

Esses arquivos de arquivo vêm equipados com arquivos de atalho do Windows (LNK) que, quando lançados, iniciam o processo de infecção executando um comando que é projetado para recuperar a carga útil da próxima etapa de um servidor remoto. Essa carga é um backdoor chamado SerialPktdoor, projetado para executar scripts PowerShell, enumerar diretórios, fazer download/upload de arquivos e excluir arquivos.

Além disso, o comando utiliza o Microsoft Build Engine (MSBuild) para executar um arquivo localizado em um local remoto, deixando assim sem rastros no host da vítima e reduzindo as chances de detecção.

As cadeias de ataque são caracterizadas pelo uso de tarefas agendadas como forma de estabelecer persistência, com os nomes das tarefas se passando por arquivos legítimos do Windows que são usados para executar um executável inofensivo suscetível ao DLL side-loading para carregar uma DLL maliciosa.

“Além de usar tarefas agendadas, o atacante empregou outra técnica de persistência: manipular contas de Administrador local”, disse a empresa de cibersegurança romena. “Isso envolveu tentativas de habilitar a conta de Administrador local desabilitada, seguidas por redefinição de senha”.

Pelo menos desde setembro de 2022, sabe-se que o Unfading Sea Haze incorpora ferramentas de Monitoramento e Gerenciamento Remoto (RMM) comercialmente disponíveis, como o ITarian RMM, para obter uma posição firme nas redes das vítimas, uma tática não comumente observada entre atores de estados-nação, exceto o grupo Iranian MuddyWater.

A sofisticação do adversário é comprovada por uma ampla variedade de ferramentas personalizadas em seu arsenal, que incluem variantes do Gh0st RAT como SilentGh0st e seu sucessor evolutivo InsidiousGh0st (que vem em versões C ++, C # e Go), TranslucentGh0st, FluffyGh0st e EtherealGh0st, os três últimos dos quais são modulares e adotam uma abordagem baseada em plug-ins.

Também é utilizado um carregador chamado Ps2dllLoader que pode burlar a Interface de Verificação Antimalware (AMSI) e atua como um canal para entregar o SharpJSHandler, que opera ouvindo solicitações HTTP e executando o código JavaScript codificado usando a biblioteca Microsoft.JScript.

A Bitdefender disse que descobriu mais duas versões do SharpJSHandler capazes de recuperar e executar uma carga de um serviço de armazenamento em nuvem como Dropbox e Microsoft OneDrive, exportando os resultados de volta para o mesmo local.

O Ps2dllLoader também contém outro backdoor chamado Stubbedoor responsável por lançar um assembly .NET criptografado recebido de um servidor de comando e controle (C2).

Outros artefatos implantados ao longo dos ataques incluem um keylogger chamado xkeylog, um ladrão de dados de navegadores da web, uma ferramenta para monitorar a presença de dispositivos portáteis e um programa de exfiltração de dados personalizado chamado DustyExfilTool, que foi usado entre março de 2018 e janeiro de 2022.

Presente entre o complexo arsenal de agentes e ferramentas maliciosos usados pelo Unfading Sea Haze está um terceiro backdoor chamado SharpZulip, que utiliza a API do serviço de mensagens Zulip para buscar comandos para execução de uma stream chamada “NDFUIBNFWDNSA”. No Zulip, streams (agora chamadas de canais) são análogas a canais no Discord e Slack.

Há evidências de que a extração de dados é realizada manualmente pelo ator de ameaças para capturar informações de interesse, incluindo dados de aplicativos de mensagens como Telegram e Viber, e agrupá-los na forma de um arquivo protegido por senha.

“Essa combinação de ferramentas personalizadas e prontas, juntamente com extração manual de dados, traça um quadro de uma campanha de espionagem direcionada focada em adquirir informações sensíveis de sistemas comprometidos”, observou Zugec.

“Seu arsenal de malware personalizado, incluindo a família Gh0st RAT e o Ps2dllLoader, mostra um foco em flexibilidade e técnicas de evasão. A mudança observada para modularidade, elementos dinâmicos e execução na memória destaca seus esforços para contornar medidas de segurança tradicionais”.