Entidades governamentais no Oriente Médio, África e Ásia são alvo de um grupo de ameaças persistentes avançadas (APT) chinês, como parte de uma campanha contínua de espionagem cibernética denominada Operação Espectro Diplomático desde pelo menos o final de 2022.
“Uma análise da atividade deste ator ameaçador revela operações de espionagem de longo prazo contra pelo menos sete entidades governamentais”, afirmaram os pesquisadores da Palo Alto Networks Unit 42, Lior Rochberger e Daniel Frank, em um relatório compartilhado com o The Hacker News.
“O ator de ameaças realizou esforços de coleta de inteligência em grande escala, aproveitando técnicas raras de exfiltração de e-mails contra servidores comprometidos.”
A empresa de cibersegurança, que anteriormente rastreava a cluster de atividades sob o nome CL-STA-0043, disse que está gradando-a para um grupo temporário de atores codinome TGR-STA-0043 devido à sua avaliação de que o conjunto de intrusões é obra de um único ator operando em nome de interesses alinhados com o Estado chinês.
Os alvos dos ataques incluem missões diplomáticas e econômicas, embaixadas, operações militares, reuniões políticas, ministérios dos países-alvo e autoridades de alto escalão.
CL-STA-0043 foi primeiramente documentado em junho de 2023 como alvo de agências governamentais no Oriente Médio e na África, usando técnicas raras de roubo de credenciais e exfiltração de e-mails Exchange.
Uma análise subsequente da Unit 42 no final do ano passado descobriu sobreposições entre CL-STA-0043 e CL-STA-0002 decorrentes do uso de um programa chamado Ntospy (também conhecido como NPPSpy) para operações de roubo de credenciais. A Unit 42 informou ao The Hacker News que os dois clusters são diferentes, mas têm sobreposições e estão conectados entre si.
Correntes de ataque orquestradas pelo grupo envolveram uma série de backdoors previamente não documentadas, como TunnelSpecter e SweetSpecter, que são variantes do infame Gh0st RAT, uma ferramenta usada profusamente em campanhas de espionagem orquestradas por hackers do governo de Pequim.
TunnelSpecter recebe seu nome do uso de tunneling DNS para exfiltração de dados, o que lhe dá uma camada extra de sigilo. SweetSpecter, por outro lado, recebe esse nome por suas semelhanças com o SugarGh0st RAT, outra variante personalizada do Gh0st RAT que vem sendo usada por um suposto ator de ameaças chineses desde agosto de 2023.
Ambos os backdoors permitem ao adversário manter acesso sorrateiro às redes de seus alvos, juntamente com a capacidade de executar comandos arbitrários, exfiltrar dados e implantar mais malware e ferramentas nos hosts infectados.
“O ator de ameaças parece monitorar de perto os desenvolvimentos geopolíticos contemporâneos, tentando exfiltrar informações diariamente”, afirmaram os pesquisadores.
Isso é realizado por meio de esforços direcionados para infiltrar os servidores de e-mail dos alvos e procurar informações de interesse, em alguns casos tentando repetidamente recuperar o acesso quando as atividades dos atacantes eram detectadas e interrompidas. O acesso inicial é realizado pela exploração de falhas conhecidas nos servidores Exchange, como ProxyLogon e ProxyShell.
O ator ameaçador procurou palavras-chave específicas e exfiltrou tudo o que pôde encontrar relacionado a elas, como caixas de correio arquivadas inteiras pertencentes a missões diplomáticas ou indivíduos específicos. O ator de ameaças também exfiltrou arquivos relacionados aos tópicos que estavam procurando.
Os vínculos chineses com a Operação Espectro Diplomático derivam ainda do uso de infraestrutura operacional exclusivamente utilizada por grupos de grupos como APT27, Mustang Panda e Winnti, além de ferramentas como o China Chopper web shell e o PlugX.
“As técnicas de exfiltração observadas como parte da Operação Espectro Diplomático fornecem uma janela distinta para os possíveis objetivos estratégicos do ator de ameaças por trás dos ataques”, concluíram os pesquisadores.
“O ator de ameaças procurou informações altamente sensíveis, abrangendo detalhes sobre operações militares, missões diplomáticas e embaixadas e ministérios de relações exteriores”.
