O grupo de ameaças vinculado à China conhecido como Sharp Panda expandiu seu foco para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.
A campanha adota o Cobalt Strike Beacon como payload, permitindo funcionalidades backdoor, como comunicação C2 e execução de comandos, enquanto minimiza a exposição de suas ferramentas personalizadas. Esse enfoque refinado sugere um entendimento mais profundo de seus alvos.
A empresa israelense de cibersegurança está rastreando a atividade sob um novo nome, Sharp Dragon, descrevendo o adversário como cuidadoso em seu direcionamento, ao mesmo tempo em que expande seus esforços de reconhecimento.
O adversário veio à tona em junho de 2021, quando foi detectado visando um governo do Sudeste Asiático para implantar um backdoor em sistemas Windows chamado VictoryDLL.
Ataques subsequentes realizados pela Sharp Dragon miraram em entidades governamentais de destaque no Sudeste Asiático para distribuir o framework de malware modular Soul, que é então usado para receber componentes adicionais de um servidor controlado pelo ator para facilitar a coleta de informações.
Evidências sugerem que o backdoor Soul está em desenvolvimento desde outubro de 2017, adotando recursos do Gh0st RAT e outras ferramentas publicamente disponíveis.
Outro conjunto de ataques atribuído ao grupo visou autoridades governamentais de alto nível de nações do G20 até junho de 2023, indicando um foco contínuo em corpos governamentais para coletar informações.
A exploração de vulnerabilidades de segurança de 1 dia para infiltrar a infraestrutura para uso posterior como servidores de comando e controle é uma prática-chave das operações da Sharp Panda. Outro aspecto importante é o uso da plataforma de simulação adversária legítima Cobalt Strike em vez de backdoors personalizados.
Além disso, os ataques mais recentes contra governos na África e no Caribe demonstram uma expansão de seus objetivos de ataque originais, enviando phishing emails para infectar novos alvos nas duas regiões.
Essas mensagens contêm anexos maliciosos que utilizam o weaponizer Royal Road Rich Text Format (RTF) para lançar um downloader chamado 5.t, responsável por conduzir o reconhecimento e lançar o Cobalt Strike Beacon, permitindo aos atacantes coletar informações sobre o ambiente-alvo.
O uso do Cobalt Strike como backdoor não só minimiza a exposição de ferramentas personalizadas, mas também sugere uma “abordagem refinada para avaliação de alvos”, acrescenta o Check Point.
Em um sinal de que o grupo está refinando continuamente suas táticas, sequências de ataques recentes observados usam executáveis disfarçados de documentos para iniciar a infecção, em vez de depender de um documento Word que utiliza um modelo remoto para baixar um arquivo RTF armado com Royal Road.
“A expansão estratégica da Sharp Dragon para a África e o Caribe significa um esforço mais amplo por parte dos atores cibernéticos chineses para melhorar sua presença e influência nessas regiões”.
