Uma campanha de ciberespionagem recém-descoberta direcionada a dispositivos de rede de perímetro de vários fornecedores, incluindo a Cisco, pode ter sido obra de atores ligados à China, de acordo com novas descobertas da empresa de gerenciamento de superfície de ataque Censys.

Denominada ArcaneDoor, a atividade teria começado por volta de julho de 2023, com o primeiro ataque confirmado contra uma vítima não identificada detectada no início de janeiro de 2024.

Os ataques direcionados, comandados por um ator patrocinado pelo estado sofisticado e previamente não documentado rastreado como UAT4356 (também conhecido como Storm-1849), envolveram o deploy de dois malwares personalizados chamados Line Runner e Line Dancer.

O caminho de acesso inicial usado para facilitar as intrusões ainda não foi descoberto, embora o adversário tenha sido observado aproveitando duas falhas agora corrigidas nos Adaptive Security Appliances da Cisco (CVE-2024-20353 e CVE-2024-20359) para persistir o Line Runner.

Dados de telemetria reunidos como parte da investigação revelaram o interesse do ator em servidores Microsoft Exchange e dispositivos de rede de outros fornecedores, disse a Talos no mês passado.

Censys, que examinou ainda mais os endereços IP controlados pelo ator, disse que os ataques apontam para o envolvimento potencial de um ator de ameaça sediado na China.

Isso se baseia no fato de que quatro dos cinco hosts online apresentando o certificado SSL identificado como conectado à infraestrutura dos atacantes estão associados aos sistemas autônomos da Tencent e da ChinaNet (AS).

Além disso, entre os endereços IP gerenciados pela ameaça ator está um host com base em Paris (212.193.2[.]48) com o assunto e o emissor definidos como “Gozargah”, que provavelmente é uma referência a uma conta do GitHub que hospeda uma ferramenta anti-censura chamada Marzban.

O software, por sua vez, é “alimentado” por outro projeto de código aberto chamado Xray que tem um site escrito em chinês.

Isso implica que “alguns desses hosts estavam executando serviços associados a softwares anti-censura provavelmente destinados a contornar a Grande Firewall” e que “um número significativo desses hosts está baseado em redes chinesas proeminentes”, sugerindo que o ArcaneDoor poderia ser obra de um ator chinês, teorizou a Censys.

Atividades de Estado-Nação afiliadas à China têm visado cada vez mais dispositivos de borda nos últimos anos, aproveitando falhas zero-day em Barracuda Networks, Fortinet, Ivanti e VMware para infiltrar alvos de interesse e implantar malwares para acesso encoberto persistente.