O grupo de ameaças ligado à China conhecido como Sharp Panda expandiu seu foco para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.

“A campanha adota o Beacon Cobalt Strike como payload, possibilitando funcionalidades de backdoor como comunicação C2 e execução de comandos, ao mesmo tempo que minimiza a exposição de suas ferramentas personalizadas”, disse a Check Point em um relatório compartilhado com o The Hacker News. “Essa abordagem refinada sugere um entendimento mais profundo de seus alvos.”

A empresa de cibersegurança israelense está rastreando a atividade sob um novo nome, Sharp Dragon, descrevendo o adversário como cuidadoso em seus alvos, ao mesmo tempo em que amplia seus esforços de reconhecimento.

O adversário veio à tona pela primeira vez em junho de 2021, quando foi detectado visando um governo do Sudeste Asiático para implantar um backdoor em sistemas Windows chamado VictoryDLL.

Os ataques subsequentes realizados pela Sharp Dragon têm como alvo entidades governamentais de alto perfil no Sudeste Asiático para entregar o framework de malware modular Soul, que é então usado para receber componentes adicionais de um servidor controlado pelo ator para facilitar a coleta de informações.

Evidências sugerem que o backdoor Soul está sendo desenvolvido desde outubro de 2017, adotando recursos do Gh0st RAT – malware geralmente associado a diversos grupos de ameaças chinesas – e outras ferramentas disponíveis publicamente.

Outro conjunto de ataques atribuídos ao grupo tem como alvo autoridades governamentais de alto escalão de nações do G20 até junho de 2023, indicando um foco contínuo em corpos governamentais para a coleta de informações.