Entidades governamentais no Oriente Médio, África e Ásia são alvos de um grupo chinês de ameaças persistentes avançadas (APT) como parte de uma campanha de espionagem cibernética em curso apelidada de Operação Diplomatic Specter desde pelo menos o final de 2022.
“Uma análise da atividade desse ator de ameaça revela operações de espionagem de longo prazo contra pelo menos sete entidades governamentais”, disse a empresa de cibersegurança Palo Alto Networks Unit 42, em um relatório compartilhado com o The Hacker News.
“O ator de ameaça realizou esforços de coleta de inteligência em grande escala, utilizando técnicas raras de exfiltração de e-mails em servidores comprometidos.”
A empresa de segurança cibernética, que anteriormente rastreava o cluster de atividades sob o nome CL-STA-0043, disse que está classificando-o como um grupo temporário de atores codinome TGR-STA-0043, por sua avaliação de que o conjunto de intrusões é o trabalho de um único ator operando em nome de interesses alinhados ao Estado chinês.
Os alvos dos ataques incluem missões diplomáticas e econômicas, embaixadas, operações militares, reuniões políticas, ministérios dos países-alvo e autoridades de alto escalão.
CL-STA-0043 foi primeiro documentado em junho de 2023 como direcionado a agências governamentais no Oriente Médio e na África usando técnicas raras de roubo de credenciais e exfiltração de e-mails do Exchange.
Uma análise subsequente da Unit 42 no final do ano passado descobriu sobreposições entre CL-STA-0043 e CL-STA-0002 decorrentes do uso de um programa chamado Ntospy (também conhecido como NPPSpy) para operações de roubo de credenciais. A Unit 42 informou ao The Hacker News que os dois clusters são diferentes, mas têm sobreposições e estão conectados entre si.
Cadeias de ataque orquestradas pelo grupo envolveram um conjunto de portas dos fundos previamente não documentadas, como TunnelSpecter e SweetSpecter, que são ambas variantes do famoso Gh0st RAT, uma ferramenta usada profusamente em campanhas de espionagem orquestradas por hackers do governo de Pequim.
TunnelSpecter recebe seu nome do uso de túneis de DNS para exfiltração de dados, dando-lhe uma camada adicional de furtividade. SweetSpecter, por outro lado, é assim chamado por suas semelhanças com o SugarGh0st RAT, outra variante personalizada do Gh0st RAT que foi colocada em uso por um ator de ameaça suspeito de língua chinesa desde agosto de 2023.
Ambos os backdoors permitem ao adversário manter acesso furtivo às redes dos alvos, juntamente com a capacidade de executar comandos arbitrários, exfiltrar dados e implantar mais malware e ferramentas nos hosts infectados.
“O ator de ameaça parece monitorar de perto os desenvolvimentos geopolíticos contemporâneos, tentando exfiltrar informações diariamente”, disseram os pesquisadores.
Isso é realizado por meio de esforços direcionados para infiltrar os servidores de email dos alvos e procurar informações de interesse neles, em alguns casos tentando repetidamente reganhar acesso quando as atividades dos invasores foram detectadas e interrompidas. O acesso inicial é conseguido pela exploração de falhas conhecidas do servidor Exchange, como ProxyLogon e ProxyShell.
“O ator de ameaça procurou palavras-chave específicas e exfiltrou tudo o que pôde encontrar relacionado a elas, como caixas de entrada arquivadas inteiras pertencentes a missões diplomáticas ou indivíduos específicos”, destacaram os pesquisadores. “O ator de ameaça também exfiltrou arquivos relacionados aos temas que estavam procurando.”
As ligações chinesas com a Operação Diplomatic Specter derivam ainda do uso de infraestrutura operacional exclusivamente utilizada por grupos de nexus chineses como APT27, Mustang Panda e Winnti, sem mencionar ferramentas como a shell web China Chopper e PlugX.
“As técnicas de exfiltração observadas como parte da Operação Diplomatic Specter fornecem uma janela distinta para os possíveis objetivos estratégicos do ator de ameaça por trás dos ataques”, concluíram os pesquisadores.
“O ator de ameaça procurou informações altamente sensíveis, abrangendo detalhes sobre operações militares, missões diplomáticas e embaixadas e ministérios das relações exteriores.”
