O misterioso e oculto grupo de hackers chinês GhostEmperor ressurgiu após uma pausa de dois anos com capacidades ainda mais avançadas e técnicas de evasão. Descoberto inicialmente pela Kaspersky Lab em 2021, o GhostEmperor era conhecido por mirar em entidades de telecomunicações e governamentais no Sudeste Asiático através de sofisticados ataques de cadeia de suprimentos. As atividades recentes do grupo foram descobertas pela empresa de cibersegurança Sygnia, que detalhou os métodos de ataque evoluídos do grupo em um relatório divulgado esta semana. Uma investigação recente da empresa de segurança em uma rede comprometida de um cliente não identificado revelou que o GhostEmperor estava por trás da violação. Os invasores usaram a rede comprometida como um ponto de partida para infiltrar os sistemas de outra vítima, marcando o primeiro atividade confirmada do GhostEmperor desde 2021. A investigação da Sygnia descobriu que o GhostEmperor atualizou seu conhecido rootkit Demodex, uma ferramenta de nível de kernel que concede o mais alto nível de acesso ao sistema operacional da vítima enquanto evita software de detecção e resposta de endpoint (EDR). A variante atualizada inclui um carregador reflexivo para executar o Core-Implant e emprega novas técnicas de ofuscação, como nomes de arquivo e chaves de registro diferentes. Além disso, a variante analisada parece ter sido compilada em julho de 2021, indicando que pode ser uma versão mais recente do que a Kaspersky originalmente documentou. A análise também observou alterações significativas na cadeia de infecção e técnicas de evasão do GhostEmperor. Tradicionalmente, o grupo obtinha acesso inicial explorando vulnerabilidades como o ProxyLogon. Um arquivo em lote era executado para iniciar a infecção, implantando várias ferramentas que se comunicavam com um conjunto de servidores de comando e controle (C2). Na invasão mais recente, o GhostEmperor empregou a ferramenta WMIExec do Impacket Toolkit para executar comandos remotamente via Gerenciamento de Instrumentação do Windows (WMI), iniciando a cadeia de infecção na máquina comprometida. O relatório observou que a nova cadeia de infecção é mais sofisticada e mais furtiva, incorporando técnicas adicionais de evasão de EDR. “Estamos vendo, repetidamente – especialmente neste cenário, quando entramos no domínio do cliente – que as pessoas não estão cientes de seu ambiente”, disse Azeem Aleem, diretor administrativo da Sygnia, ao The Record, o site de notícias da empresa de segurança cibernética Recorded Future. Quando o GhostEmperor foi identificado pela primeira vez em setembro de 2021, a Kaspersky descreveu o grupo como um ator de ameaças altamente qualificado e sofisticado, mirando principalmente em entidades de alto perfil no Sudeste Asiático, incluindo Malásia, Tailândia, Vietnã e Indonésia. Vítimas adicionais incluíram entidades no Egito, Etiópia e Afeganistão, indicando um escopo amplo e ambicioso de operações. A descoberta inicial pela Kaspersky destacou o uso pelo GhostEmperor de malware de estágio múltiplo projetado para furtividade e persistência, aproveitando rootkits e outras ferramentas avançadas para manter uma presença em redes comprometidas. A capacidade do grupo de evitar a detecção e empregar estratégias de ataque complexas levou os pesquisadores a categorizá-los como um ator patrocinado pelo estado, dadas os recursos e expertise necessários para desenvolver e implantar tais ferramentas. Somente este mês, atores de ameaças chineses foram descobertos mirando em cafés da Internet na China, permitindo que os atacantes executem código malicioso com os mais altos privilégios. O ator patrocinado pelo estado chinês APT40 foi descoberto explorando vulnerabilidades de software recém-descobertas em questão de horas, visando organizações globalmente, incluindo ataques repetidos em redes australianas. No início do mês, o grupo de ameaças apoiado pela China, Velvet Ant, foi descoberto usando malware direcionado para explorar uma vulnerabilidade no software NX-OS da Cisco para gerenciar diversos switches.