Entidades governamentais no Oriente Médio, África e Ásia são o alvo de um grupo chinês de ameaça persistente avançada (APT) como parte de uma campanha contínua de espionagem cibernética denominada Operação Espectro Diplomático desde pelo menos o final de 2022.
“Uma análise da atividade desse ator de ameaça revela operações de espionagem de longo prazo contra pelo menos sete entidades governamentais,” disseram os pesquisadores da Palo Alto Networks Unit 42, Lior Rochberger e Daniel Frank, em um relatório compartilhado com The Hacker News.
“O ator de ameaça realizou esforços de coleta de inteligência em grande escala, aproveitando técnicas raras de exfiltração de e-mails contra servidores comprometidos.”
A empresa de segurança cibernética, que anteriormente rastreou o cluster de atividade sob o nome CL-STA-0043, disse que está classificando-o como um grupo de atores temporários codinome TGR-STA-0043, devido à sua avaliação de que o conjunto de intrusão é obra de um único ator operando em nome de interesses alinhados ao estado chinês.
Os alvos dos ataques incluem missões diplomáticas e econômicas, embaixadas, operações militares, reuniões políticas, ministérios de países-alvo e autoridades de alto escalão.
CL-STA-0043 foi documentado pela primeira vez em junho de 2023 como visando agências governamentais no Oriente Médio e na África usando técnicas raras de roubo de credenciais e exfiltração de e-mails do Exchange.
Uma análise subsequente da Unit 42 no final do ano passado descobriu sobreposições entre CL-STA-0043 e CL-STA-0002 decorrentes do uso de um programa chamado Ntospy (também conhecido como NPPSpy) para operações de roubo de credenciais. A Unit 42 disse ao The Hacker News que os dois clusters são diferentes, mas têm sobreposições e estão conectados entre si.
Cadeias de ataque orquestradas pelo grupo envolveram um conjunto de portas dos fundos anteriormente não documentadas, como TunnelSpecter e SweetSpecter, que são ambas variantes do infame Gh0st RAT, uma ferramenta usada intensamente em campanhas de espionagem orquestradas por hackers do governo de Pequim.
TunnelSpecter recebe seu nome pelo uso de DNS tunneling para exfiltração de dados, dando-lhe uma camada extra de sigilo. Já o SweetSpecter é assim chamado por suas semelhanças com o SugarGh0st RAT, outra variante personalizada do Gh0st RAT que vem sendo utilizada por um ator de ameaças suspeito de falar chinês desde agosto de 2023.
Ambas portas dos fundos permitem que o adversário mantenha acesso furtivo às redes de seus alvos, além da capacidade de executar comandos arbitrários, exfiltrar dados e implantar mais malware e ferramentas nos hosts infectados.
“O ator de ameaça parece monitorar de perto os desenvolvimentos geopolíticos contemporâneos, tentando exfiltrar informações diariamente,” disseram os pesquisadores.
Isso é realizado por meio de esforços direcionados para infiltrar os servidores de e-mail dos alvos e procurar por informações de interesse, em alguns casos tentando repetidamente recuperar o acesso quando as atividades dos atacantes eram detectadas e interrompidas. O acesso inicial é alcançado pela exploração de falhas conhecidas do servidor Exchange, como ProxyLogon e ProxyShell.
“O ator de ameaça procurou por palavras-chave específicas e exfiltrou tudo o que encontrou relacionado a elas, como caixas de correio arquivadas inteiras pertencentes a determinadas missões diplomáticas ou indivíduos,” apontaram os pesquisadores. “O ator de ameaça também exfiltrou arquivos relacionados aos tópicos que estavam pesquisando.”
As ligações chinesas com a Operação Espectro Diplomático derivam ainda do uso de infraestrutura operacional exclusivamente usada por grupos chineses como APT27, Mustang Panda e Winnti, além de ferramentas como o web shell China Chopper e o PlugX.
“As técnicas de exfiltração observadas como parte da Operação Espectro Diplomático oferecem uma janela distinta para os possíveis objetivos estratégicos do ator de ameaça por trás dos ataques,” concluíram os pesquisadores.
“O ator de ameaça procurou por informações altamente sensíveis, abrangendo detalhes sobre operações militares, missões diplomáticas e embaixadas, e ministérios das Relações Exteriores.”