O grupo de ameaças chinês conhecido como Sharp Panda ampliou seus alvos para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.
A empresa israelense de segurança cibernética está rastreando a atividade sob um novo nome, Sharp Dragon, descrevendo o adversário como cuidadoso em seus alvos, ao mesmo tempo em que amplia seus esforços de reconhecimento.
O adversário veio à tona pela primeira vez em junho de 2021, quando foi detectado direcionando um governo do Sudeste Asiático para implantar um backdoor em sistemas Windows chamado VictoryDLL.
Ataques subsequentes realizados por Sharp Dragon miraram em entidades governamentais de destaque no Sudeste Asiático para entregar o framework de malware modular Soul, que é então usado para receber componentes adicionais de um servidor controlado pelo ator a fim de facilitar a coleta de informações.
Evidências sugerem que o backdoor Soul está sendo desenvolvido desde outubro de 2017, adotando recursos do Gh0st RAT e outras ferramentas publicamente disponíveis.
Outro conjunto de ataques atribuídos aos atores de ameaça visou autoridades governamentais de alto nível de países do G20, indicando um foco contínuo em corpos governamentais para a coleta de informações.
Importante nas operações da Sharp Panda é a exploração de falhas de segurança de 1 dia para infiltrar infraestruturas para uso posterior como servidores de comando e controle. Outro aspecto notável é o uso do framework legítimo de simulação de adversário Cobalt Strike em vez de backdoors personalizados.
Além disso, o uso do Cobalt Strike como backdoor não só minimiza a exposição de ferramentas personalizadas, mas também sugere uma “abordagem refinada para a avaliação de alvos”, acrescentou a Check Point.
Os especiais recentes de ataques a governos na África e no Caribe demonstram uma expansão dos objetivos originais de ataque, com o modus operandi envolvendo contas de e-mail de alto perfil comprometidas no Sudeste Asiático para enviar e-mails de phishing para infectar novos alvos nas duas regiões.
Essas mensagens contêm anexos maliciosos que aproveitam o formatador de ricos em texto Royal Road para soltar um downloader chamado 5.t, responsável por realizar reconhecimento e lançar o Cobalt Strike, permitindo que os atacantes coletem informações sobre o ambiente-alvo.
O uso do Cobalt Strike como backdoor não apenas minimiza a exposição de ferramentas personalizadas, mas também sugere uma “abordagem refinada para a avaliação do alvo”, adicionou a Check Point.
Em um sinal de que o ator de ameaça está continuamente aprimorando suas táticas, sequências recentes de ataques foram observadas usando executáveis disfarçados de documentos para iniciar a infecção, em vez de depender de um documento do Word que utiliza um modelo remoto para baixar um arquivo RTF armado com Royal Road.
“A expansão estratégica da Sharp Dragon para a África e o Caribe indica um esforço mais amplo dos ciberatores chineses para aumentar sua presença e influência nessas regiões.”
Os achados vêm no mesmo dia em que a Palo Alto Networks descobriu detalhes de uma campanha codinomeada Operação Diplomático Fantasma, que tem como alvo missões diplomáticas e governos no Oriente Médio, África e Ásia desde pelo menos o final de 2022.
A mudança nas atividades da Sharp Dragon em direção à África faz parte dos esforços maiores feitos pela China para estender sua influência por todo o continente.
“Esses ataques se alinham de forma conspícua com a ampla agenda de soft power e tecnológica da China na região, concentrando-se em áreas críticas como o setor de telecomunicações, instituições financeiras e órgãos governamentais”, observou anteriormente o pesquisador de segurança Tom Hegel.
O desenvolvimento também segue um relatório da Mandiant, que destacou o uso pela China de redes de proxy denominadas redes de caixas de relé operacionais para obscurecer suas origens ao realizar operações de espionagem e obter e manter acesso a redes de alto valor.
“O uso de redes ORB para proxy de tráfego em uma rede comprometida não é uma tática nova, nem é exclusivo de atores de ciberespionagem de origem chinesa”, disse Raggi. “Rastreamos a ciberespionagem de origem chinesa usando essas táticas como parte de uma evolução mais ampla para operações mais propositivas, furtivas e eficazes.”
