Uma organização governamental de alto perfil no Sudeste Asiático emergiu como alvo de uma operação sofisticada e de longa duração de ciberepionagem patrocinada pelo estado chinês, intitulada Palácio Carmesim.

O objetivo geral por trás da campanha era manter o acesso à rede alvo para ciberepionagem em apoio aos interesses estatais chineses, segundo pesquisadores da Sophos.

Nome da organização governamental não foi divulgado, mas a empresa disse que o país é conhecido por ter conflitos repetidos com a China sobre territórios no Mar do Sul da China, levantando a possibilidade de que possa ser as Filipinas, que já foram alvo de grupos patrocinados pelo estado chinês no passado.

Palácio Carmesim é composto por três clusters de intrusão, alguns dos quais compartilham as mesmas táticas, embora haja evidências de atividades antigas datadas de março de 2022.

Cluster Alpha (março de 2023 – agosto de 2023) exibe algum grau de similaridade com atores rastreados como BackdoorDiplomacy, REF5961, Worok e TA428.

Cluster Bravo (março de 2023) tem semelhanças com Unfading Sea Haze, e Cluster Charlie (março de 2023 – abril de 2024) tem sobreposições com Earth Longzhi, um subgrupo dentro do APT41.

Sophos avaliou que esses clusters de atividades sobrepostas provavelmente faziam parte de uma campanha coordenada orquestrada sob a direção de uma única organização.

O ataque é notável pelo uso de malware não documentado como PocoProxy, bem como uma versão atualizada do EAGERBEE, juntamente com outras famílias de malware conhecidas.

Outra característica da campanha inclui o uso extensivo de carregamento lateral de DLL e táticas incomuns para se manter sob o radar.

Atividades associadas ao Cluster Charlie incluíram o uso de PocoProxy para estabelecer persistência em sistemas comprometidos e a implantação de HUI Loader para entregar Cobalt Strike.

“As observadas nos clusters refletem as operações de dois ou mais atores distintos trabalhando em conjunto com objetivos compartilhados”, observaram os pesquisadores. “Os clusters observados refletem o trabalho de um único grupo com uma grande variedade de ferramentas, infraestrutura diversificada e vários operadores.”

Divulgação ocorre após ataques orquestrados pelo ator da APT41, direcionados a organizações na Itália com uma variante do malware PlugX conhecida como KEYPLUG.

KEYPLUG tem variantes para plataformas Windows e Linux, e suporta vários protocolos de rede para tráfego de comando e controle, tornando-o uma ferramenta potente no arsenal de ciberataques da APT41.

Também segue um aviso do Centro Canadense de Segurança Cibernética sobre aumentos de ataques de hackers apoiados pelo estado chinês visando a infiltrar governos, infraestrutura crítica e setores de pesquisa e desenvolvimento.