Você está visualizando atualmente Dentro da Operação Espectral Diplomática: Táticas Furtivas do Grupo APT Chinês Expostas

Dentro da Operação Espectral Diplomática: Táticas Furtivas do Grupo APT Chinês Expostas

Entidades governamentais no Oriente Médio, África e Ásia são alvo de um grupo chinês de ameaças persistentes avançadas (APT) como parte de uma campanha de espionagem cibernética em andamento denominada Operação Espectro Diplomático desde pelo menos o final de 2022.

“Uma análise da atividade desse ator de ameaças revela operações de espionagem de longo prazo contra pelo menos sete entidades governamentais”, disseram os pesquisadores Lior Rochberger e Daniel Frank da Palo Alto Networks Unit 42 em um relatório compartilhado com o The Hacker News.

“O ator de ameaças realizou esforços de coleta de inteligência em larga escala, aproveitando técnicas raras de exfiltração de e-mails contra servidores comprometidos.”

A empresa de cibersegurança, que anteriormente rastreou o agrupamento de atividades sob o nome CL-STA-0043, disse que o está graduando para um grupo de atores temporário codinome Grupo de Ameaças Temporário (TGR-STA-0043), devido à sua avaliação de que o conjunto de intrusão é o trabalho de um único ator operando em nome de interesses alinhados ao estado chinês.

Os alvos dos ataques incluem missões diplomáticas e econômicas, embaixadas, operações militares, reuniões políticas, ministérios de países-alvo e autoridades de alto escalão.

O CL-STA-0043 foi primeiro documentado em junho de 2023 como alvejando agências governamentais no Oriente Médio e África usando técnicas raras de roubo de credenciais e exfiltração de e-mails do Exchange.

Uma análise subsequente da Unidade 42 no final do ano passado descobriu sobreposições entre o CL-STA-0043 e o CL-STA-0002, resultantes do uso de um programa chamado Ntospy (também conhecido como NPPSpy) para operações de roubo de credenciais. A Unidade 42 disse ao The Hacker News que os dois agrupamentos são diferentes, mas têm sobreposições e estão conectados entre si.

As cadeias de ataque orquestradas pelo grupo envolveram um conjunto de backdoors anteriormente não documentados, como TunnelSpecter e SweetSpecter, que são variantes do infame RAT Gh0st, uma ferramenta usada profusamente em campanhas de espionagem orquestradas por hackers governamentais de Pequim.

TunnelSpecter recebe seu nome do uso de tunelamento DNS para exfiltração de dados, o que lhe confere uma camada extra de sigilo. SweetSpecter, por outro lado, é assim chamado por suas semelhanças com o RAT SugarGh0st, outra variante personalizada do RAT Gh0st que tem sido utilizada por um ator de ameaças suspeito de falar chinês desde agosto de 2023.

Ambas as backdoors permitem ao adversário manter acesso furtivo às redes de seus alvos, juntamente com a capacidade de executar comandos arbitrários, exfiltrar dados e implantar mais malware e ferramentas nos hosts infectados.

“O ator de ameaças parece monitorar de perto os desenvolvimentos geopolíticos contemporâneos, tentando exfiltrar informações diariamente”, disseram os pesquisadores.

Isso é realizado por meio de esforços direcionados para infiltrar os servidores de e-mails dos alvos e procurar por informações de interesse, em alguns casos tentando repetidamente recuperar o acesso quando as atividades dos invasores foram detectadas e interrompidas. O acesso inicial é obtido pela exploração de falhas conhecidas dos servidores do Exchange, como ProxyLogon e ProxyShell.

“O ator de ameaças procurou por palavras-chave específicas e exfiltrou tudo que pôde encontrar relacionado a elas, como caixas de correio arquivadas inteiras pertencentes a missões diplomáticas ou indivíduos específicos”, destacaram os pesquisadores. “O ator de ameaças também exfiltrou arquivos relacionados aos tópicos que estavam procurando.”

Os vínculos chineses com a Operação Espectro Diplomático derivam ainda do uso de infraestrutura operacional exclusivamente utilizada por grupos de nexus chineses como APT27, Mustang Panda e Winnti, além de ferramentas como o shell web China Chopper e o PlugX.

“As técnicas de exfiltração observadas como parte da Operação Espectro Diplomático proporcionam uma janela distinta para os possíveis objetivos estratégicos do ator de ameaças por trás dos ataques”, concluíram os pesquisadores. “O ator de ameaças procurou informações altamente sensíveis, abrangendo detalhes sobre operações militares, missões diplomáticas, embaixadas e ministérios das Relações Exteriores.”

Se achou esse artigo interessante? Siga-nos no Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.