Entidades governamentais no Oriente Médio, África e Ásia são o alvo de um grupo chinês de ameaças persistentes avançadas (APT) como parte de uma campanha de espionagem cibernética em curso chamada Operação Diplomatic Specter desde pelo menos o final de 2022.
“Uma análise da atividade deste ator de ameaça revela operações de espionagem de longo prazo contra pelo menos sete entidades governamentais”, disseram pesquisadores da Palo Alto Networks Unit 42 Lior Rochberger e Daniel Frank em um relatório compartilhado com o The Hacker News.
“O ator de ameaça realizou esforços de coleta de inteligência em larga escala, aproveitando técnicas raras de exfiltração de e-mail contra servidores comprometidos.”
A empresa de cibersegurança, que anteriormente rastreou o cluster de atividades com o nome CL-STA-0043, disse que está promovendo-o para um grupo temporário de atores codificado TGR-STA-0043, devido à sua avaliação de que o conjunto de intrusões é obra de um único ator operando em nome de interesses alinhados ao Estado chinês.
Os alvos dos ataques incluem missões diplomáticas e econômicas, embaixadas, operações militares, reuniões políticas, ministérios de países-alvo e autoridades de alto escalão.
CL-STA-0043 foi documentado pela primeira vez em junho de 2023 como visando agências governamentais no Oriente Médio e África usando técnicas raras de roubo de credenciais e exfiltração de e-mails de Exchange.
Uma análise subsequente da Unit 42 no final do ano passado descobriu sobreposições entre CL-STA-0043 e CL-STA-0002 decorrentes do uso de um programa chamado Ntospy (também conhecido como NPPSpy) para operações de roubo de credenciais. A Unit 42 disse ao The Hacker News que os dois clusters são diferentes, mas se sobrepõem e estão conectados entre si.
Cadeias de ataques orquestradas pelo grupo envolveram um conjunto de portas dos fundos anteriormente não documentadas, como TunnelSpecter e SweetSpecter, que são variantes do famoso Gh0st RAT, uma ferramenta usada profusamente em campanhas de espionagem orquestradas por hackers do governo de Pequim.
TunnelSpecter recebe seu nome do uso de tunelamento DNS para exfiltração de dados, dando-lhe uma camada adicional de furtividade. SweetSpecter, por outro lado, é assim chamado por suas semelhanças com o SugarGh0st RAT, outra variante personalizada do Gh0st RAT que foi usada por um suspeito de ator de ameaça que fala chinês desde agosto de 2023.
Ambos as portas dos fundos permitem que o adversário mantenha acesso sorrateiro às redes de seus alvos, juntamente com a capacidade de executar comandos arbitrários, exfiltrar dados e implantar mais malware e ferramentas nos hosts infectados.
“O ator de ameaça parece monitorar de perto os desenvolvimentos geopolíticos contemporâneos, tentando exfiltrar informações diariamente”, disseram os pesquisadores.
Isso é realizado por meio de esforços direcionados para infiltrar servidores de e-mail dos alvos e procurá-los por informações de interesse, em alguns casos tentando repetidamente recuperar o acesso quando as atividades dos invasores foram detectadas e interrompidas. O acesso inicial é realizado pela exploração de falhas conhecidas dos servidores Exchange, como o ProxyLogon e o ProxyShell.
“O ator de ameaça procurou palavras-chave específicas e exfiltrou tudo que pôde encontrar relacionado a elas, como caixas de entrada arquivadas inteiras pertencentes a missões diplomáticas ou indivíduos específicos”, apontaram os pesquisadores. “O ator de ameaça também exfiltrou arquivos relacionados aos tópicos que estavam procurando.”
Os laços chineses com a Operação Diplomatic Specter derivam ainda do uso de infraestrutura operacional exclusivamente utilizada por grupos de tendências chinesas como APT27, Mustang Panda e Winnti, sem mencionar ferramentas como o shell web China Chopper e o PlugX.
“As técnicas de exfiltração observadas como parte da Operação Diplomatic Specter fornecem uma janela distinta para os possíveis objetivos estratégicos do ator de ameaça por trás dos ataques”, concluíram os pesquisadores.
“O ator de ameaça procurou informações altamente sensíveis, abrangendo detalhes sobre operações militares, missões diplomáticas e embaixadas e ministérios de relações exteriores.”
