Agências governamentais e organizações não governamentais nos Estados Unidos se tornaram alvo de um novo agente ameaçador chinês conhecido como Storm-2077.

O adversário, acredita-se estar ativo desde pelo menos janeiro de 2024, também realizou ataques cibernéticos contra a Base Industrial de Defesa (DIB), aviação, telecomunicações e serviços financeiros e jurídicos em todo o mundo, disse a Microsoft.

A atividade do grupo, a empresa acrescentou, se sobrepõe a um grupo de ameaças que o Grupo Insikt da Recorded Future está rastreando como TAG-100.

As cadeias de ataque envolveram o direcionamento de vários dispositivos de borda da internet usando exploits publicamente disponíveis para obter acesso inicial e lançar o Cobalt Strike, bem como malwares de código aberto como Pantegana e Spark RAT, observou a empresa de segurança cibernética em julho.

“Na última década, seguindo numerosas acusações do governo e a divulgação pública das atividades de agentes ameaçadores, rastrear e atribuir operações cibernéticas originárias da China se tornou cada vez mais desafiador à medida que os atacantes ajustam suas táticas”, disse a Microsoft.

O Storm-2077 é dito orquestrar missões de coleta de inteligência usando e-mails de phishing para coletar credenciais válidas associadas a aplicativos de eDiscovery para exfiltração de e-mails adicionais, que poderiam conter informações sensíveis que poderiam permitir que os atacantes avançassem em suas operações.

“Em outros casos, o Storm-2077 foi observado ganhando acesso a ambientes de nuvem colhendo credenciais de pontos finais comprometidos”, disse a Microsoft. “Uma vez que o acesso administrativo foi obtido, o Storm-2077 criou sua própria aplicação com direitos de leitura de e-mails.”

A divulgação ocorre à medida que o Grupo de Inteligência de Ameaças do Google (TAG) lança luz sobre uma operação de influência pró-China chamada GLASSBRIDGE, que emprega uma rede de sites de notícias inautênticas e serviços de agência de notícias para amplificar narrativas alinhadas com as opiniões e agenda política do país globalmente.

A gigante da tecnologia disse que bloqueou mais de mil sites operados pelo GLASSBRIDGE para evitar que aparecessem em seus produtos Google News e Google Discover desde 2022.

“Esses sites de notícias inautênticos são operados por um pequeno número de empresas isoladas de RP digital que oferecem serviços de agências de notícias, sindicação e marketing”, disse a pesquisadora do TAG Vanessa Molter. “Eles se passam por veículos independentes que republicam artigos da mídia estatal da RPC, comunicados de imprensa e outros conteúdos provavelmente encomendados por outros clientes da agência de RP.”

Isso inclui empresas conhecidas como Shanghai Haixun Technology (que inclui o agrupamento HaiEnergy), Times Newswire/Shenzhen Haimai Yunxiang Media (também conhecida como a campanha PAPERWALL), Shenzhen Bowen Media e DURINBRIDGE, sendo esta última uma empresa comercial que distribui conteúdos para Haixun e DRAGONBRIDGE.

Shenzhen Bowen Media, uma empresa de marketing com sede na China, também é dito operar o World Newswire, o mesmo serviço de distribuição de comunicados à imprensa usado pela Haixun para colocar conteúdos pró-Pequim nos subdomínios de veículos de notícias legítimos, conforme revelado pelo Mandiant do Google em julho de 2023.

Alguns dos subdomínios identificados foram markets.post-gazette[.]com, markets.buffalonews[.]com, business.ricentral[.]com, business.thepilotnews[.]com e finance.azcentral[.]com, entre outros.

“Os sites de notícias inautênticos operados pelo GLASSBRIDGE ilustram como os atores das operações de informação abraçaram métodos além das mídias sociais na tentativa de espalhar suas narrativas”, disse Molter. “Ao se passar por veículos independentes e muitas vezes locais de notícias, os atores das operações de informação conseguem adequar seus conteúdos a públicos regionais específicos e apresentar suas narrativas como conteúdo de notícias e editoriais aparentemente legítimos.”