Uma campanha de espionagem cibernética recentemente descoberta, direcionada a dispositivos de rede de perímetro de vários fornecedores, incluindo a Cisco, pode ter sido o trabalho de atores ligados à China, de acordo com novas descobertas da empresa de gestão de superfície de ataque Censys.

Denominada ArcaneDoor, a atividade teria começado por volta de julho de 2023, com o primeiro ataque confirmado contra uma vítima não identificada detectada no início de janeiro de 2024.

Os ataques direcionados, orquestrados por um ator patrocinado pelo estado sofisticado, não documentado anteriormente e suspeito, rastreado como UAT4356 (também conhecido como Storm-1849), envolveram o uso de dois malwares personalizados denominados Line Runner e Line Dancer.

O caminho de acesso inicial usado para facilitar as intrusões ainda não foi descoberto, embora o adversário tenha sido observado aproveitando duas falhas agora corrigidas nos Appliances de Segurança Adaptativa da Cisco (CVE-2024-20353 e CVE-2024-20359) para manter ativo o Line Runner.

Dados de telemetria reunidos como parte da investigação revelaram o interesse do ator em servidores Microsoft Exchange e dispositivos de rede de outros fornecedores, disse Talos no mês passado.

Censys, que examinou mais a fundo os endereços IP controlados pelo ator, disse que os ataques apontam para o envolvimento potencial de um ator de ameaça baseado na China.

Isso se baseia no fato de que quatro dos cinco hosts online que apresentam o certificado SSL identificado como conectado à infraestrutura dos atacantes estão associados aos sistemas autônomos de Tencent e ChinaNet (AS).

Além disso, entre os endereços IP gerenciados pelo ator da ameaça está um host baseado em Paris (212.193.2[.]48) com o assunto e emissor definidos como “Gozargah”, que provavelmente é uma referência a uma conta GitHub que hospeda uma ferramenta de anti-censura chamada Marzban.

O software, por sua vez, é “alimentado” por outro projeto de código aberto chamado Xray que tem um site escrito em chinês.

Isso sugere que “alguns desses hosts estavam rodando serviços associados a software de anti-censura provavelmente destinado a contornar o Grande Firewall” e que “um número significativo desses hosts estão baseados em redes chinesas proeminentes”, sugerindo que a ArcaneDoor poderia ser obra de um ator chinês, teorizou a Censys.

Atuantes estatais afiliados à China têm visado cada vez mais aparelhos de borda nos últimos anos, aproveitando falhas de dia zero em Barracuda Networks, Fortinet, Ivanti e VMware para infiltrar alvos de interesse e implantar malware para acesso encoberto persistente.

O desenvolvimento ocorre quando a empresa francesa de cibersegurança Sekoia disse ter conseguido derrubar com sucesso um servidor de comando e controle (C2) vinculado ao trojan PlugX em setembro de 2023, gastando $7 para adquirir o endereço IP ligado a uma variante do malware com capacidades para se propagar de forma semelhante a um worm via pen drives comprometidos.

Um monitoramento mais próximo do endereço IP derrubado (45.142.166[.]112) revelou a presença do worm em mais de 170 países abrangendo 2,49 milhões de endereços IP exclusivos ao longo de um período de seis meses. A maioria das infecções foi detectada na Nigéria, Índia, China, Irã, Indonésia, Reino Unido, Iraque, EUA, Paquistão e Etiópia.

“Muitas nações, excluindo a Índia, são participantes da Iniciativa Cinturão e Rota da China e têm, na maioria delas, litorais onde os investimentos em infraestrutura chinesa são significativos”, disse a Sekoia. “Numerosos países afetados estão localizados em regiões de importância estratégica para a segurança da Iniciativa Cinturão e Rota”.

“Este worm foi desenvolvido para coletar inteligência em vários países sobre as preocupações estratégicas e de segurança associadas à Iniciativa Cinturão e Rota, principalmente sobre seus aspectos marítimos e econômicos”.