Entidades governamentais no Oriente Médio, África e Ásia são alvo de um grupo chinês avançado de ameaças persistentes (APT) como parte de uma campanha contínua de espionagem cibernética apelidada de “Operação Espectro Diplomático” desde pelo menos o final de 2022.
“Uma análise da atividade desse ator de ameaça revela operações de espionagem de longo prazo contra pelo menos sete entidades governamentais”, disseram os pesquisadores da Palo Alto Networks Unit 42, Lior Rochberger e Daniel Frank, em um relatório compartilhado com o The Hacker News.
“O ator de ameaça realizou esforços de coleta de inteligência em larga escala, utilizando técnicas raras de exfiltração de e-mails em servidores comprometidos.”
A firma de cibersegurança, que anteriormente rastreou o cluster de atividades sob o nome CL-STA-0043, disse que está promovendo para um grupo temporário de atores codinome TGR-STA-0043, devido à sua avaliação de que o conjunto de intrusões é obra de um único ator operando em nome de interesses alinhados ao estado chinês.
Os alvos dos ataques incluem missões diplomáticas e econômicas, embaixadas, operações militares, reuniões políticas, ministérios de países-alvo e autoridades de alto escalão.
CL-STA-0043 foi primeiro documentado em junho de 2023 como visando agências governamentais no Oriente Médio e na África, utilizando técnicas raras de roubo de credenciais e de exfiltração de e-mails Exchange.
Uma análise subsequente da Unit 42 no final do ano passado descobriu sobreposições entre CL-STA-0043 e CL-STA-0002 decorrentes do uso de um programa chamado Ntospy (também conhecido como NPPSpy) para operações de roubo de credenciais.
Cadeias de ataques orquestradas pelo grupo envolveram um conjunto de backdoors anteriormente não documentados, como TunnelSpecter e SweetSpecter, que são ambas variantes do infame RAT Gh0st, uma ferramenta utilizada profusamente em campanhas de espionagem orquestradas por hackers do governo de Pequim.
TunnelSpecter recebe seu nome do uso de tunneling DNS para exfiltração de dados, dando-lhe uma camada extra de sigilo. Já SweetSpecter é assim chamado por suas semelhanças com o RAT SugarGh0st, outra variante customizada do Gh0st RAT que foi usada por um provável ator de ameaça de língua chinesa desde agosto de 2023.
Ambas as backdoors permitem ao adversário manter acesso secreto às redes de seus alvos, junto com a capacidade de executar comandos arbitrários, exfiltrar dados e implantar mais malware e ferramentas nos hosts infectados.
“O ator de ameaça parece monitorar de perto os acontecimentos geopolíticos contemporâneos, tentando exfiltrar informações diariamente”, disseram os pesquisadores.
Isso é realizado por meio de esforços direcionados para infiltrar os servidores de e-mail dos alvos e buscá-los por informações de interesse, em alguns casos tentando repetidamente recuperar o acesso quando as atividades dos atacantes foram detectadas e interrompidas. O acesso inicial é realizado pela exploração de falhas conhecidas no servidor Exchange, como ProxyLogon e ProxyShell.
“O ator de ameaça procurava por palavras-chave específicas e exfiltrava tudo o que podia encontrar relacionado a elas, como caixas de entrada arquivadas inteiras pertencentes a missões diplomáticas ou indivíduos específicos”, apontaram os pesquisadores. “O ator de ameaça também exfiltrou arquivos relacionados aos tópicos pelos quais estava procurando.”
As ligações chinesas com a Operação Espectro Diplomático derivam ainda do uso de infraestrutura operacional exclusivamente utilizada por grupos conectados à China, como APT27, Mustang Panda e Winnti, além de ferramentas como o shell web China Chopper e o PlugX.
“As técnicas de exfiltração observadas como parte da Operação Espectro Diplomático proporcionam uma janela distinta sobre os possíveis objetivos estratégicos do ator de ameaça por trás dos ataques”, concluíram os pesquisadores.
“O ator de ameaça procurou por informações altamente sensíveis, abrangendo detalhes sobre operações militares, missões diplomáticas e embaixadas, e ministérios das relações exteriores.”
