Pesquisa de segurança cibernética divulgou detalhes de um grupo de ameaças anteriormente não documentado chamado Unfading Sea Haze, que se acredita estar ativo desde 2018. A intrusão direcionou organizações de alto nível em países do Mar da China Meridional, especialmente alvos militares e governamentais, segundo um relatório compartilhado com The Hacker News. A investigação revelou uma tendência preocupante além do contexto histórico. Martin Zugec, diretor de soluções técnicas da Bitdefender, afirmou que identificou um total de oito vítimas até o momento. “Notavelmente, os atacantes repetidamente recuperaram o acesso a sistemas comprometidos. Essa exploração destaca uma vulnerabilidade crítica: má higiene de credenciais e práticas inadequadas de patching em dispositivos e serviços web expostos”. Há indicações de que o ator da ameaça por trás dos ataques está operando com metas alinhadas aos interesses chineses, apesar de as assinaturas de ataque não se sobreporem às de qualquer grupo de hackers conhecido. Isso inclui a pegada de vítimas, com países como as Filipinas e outras organizações no Sul do Pacífico anteriormente alvo do ator Mustang Panda ligado à China. Também são usadas nas operações várias iterações do malware Gh0st RAT, um trojan de commodity conhecido por ser usado por atores de ameaças de língua chinesa. “Uma técnica específica empregada pelo Unfading Sea Haze – executando código JScript por meio de uma ferramenta chamada SharpJSHandler – se assemelhava a uma funcionalidade encontrada na backdoor ‘FunnySwitch’, que foi associada ao APT41”, disse a Bitdefender. “Ambos envolvem carregar assemblies .NET e executar código JScript. No entanto, essa foi uma semelhança isolada”. O caminho de acesso inicial exato usado para infiltrar os alvos ainda não é conhecido, embora, em uma reviravolta interessante, tenha sido observado que o Unfading Sea Haze recuperou o acesso às mesmas entidades por meio de e-mails de spear-phishing contendo arquivos armadilhados. Esses arquivos de arquivo vêm com arquivos de atalho do Windows (LNK) que, quando lançados, iniciam o processo de infecção ao executar um comando projetado para recuperar a carga útil da próxima etapa de um servidor remoto. Essa carga útil é uma backdoor denominada SerialPktdoor, projetada para executar scripts PowerShell, enumerar diretórios, baixar/upload de arquivos e deletar arquivos. Além disso, o comando utiliza o Microsoft Build Engine (MSBuild) para executar sem arquivos um arquivo localizado em um local remoto, não deixando rastros no host da vítima e diminuindo as chances de detecção. As cadeias de ataque são caracterizadas pelo uso de tarefas agendadas como forma de estabelecer persistência, sendo que os nomes das tarefas se passam por arquivos do Windows legítimos usados para executar um executável inofensivo suscetível ao carregamento lateral de DLL para carregar uma DLL maliciosa. “Além de usar tarefas agendadas, o atacante empregou outra técnica de persistência: manipulando contas locais de Administrador”, disse a empresa de segurança cibernética romena. “Isso envolveu tentativas de habilitar a conta de Administrador local desativada, seguidas pela redefinição de sua senha”. Pelo menos desde setembro de 2022, o Unfading Sea Haze é conhecido por incorporar ferramentas de Monitoramento e Gerenciamento Remoto (RMM) comercialmente disponíveis, como o ITarian RMM, para obter uma posição em redes de vítimas, uma tática não comumente observada entre atores de estados-nação, exceto o grupo Iraniano MuddyWater. A sofisticação do adversário é evidente por uma grande variedade de ferramentas personalizadas em seu arsenal, que compreende variantes do Gh0st RAT, como SilentGh0st e seu sucessor evolutivo InsidiousGh0st (que vem nas versões C++, C# e Go), TranslucentGh0st, FluffyGh0st e EtherealGh0st, sendo que os três últimos são modulares e seguem uma abordagem baseada em plugins. Também é usado um carregador conhecido como Ps2dllLoader que pode contornar a Interface de Verificação Antimalware (AMSI) e atua como um conduto para fornecer o SharpJSHandler, que opera ouvindo solicitações HTTP e executando o código JavaScript codificado usando a biblioteca Microsoft.JScript. A Bitdefender afirmou ter descoberto mais dois tipos de SharpJSHandler capazes de recuperar e executar uma carga útil de serviços de armazenamento em nuvem como Dropbox e Microsoft OneDrive, e exportar os resultados de volta para o mesmo local. O Ps2dllLoader também contém outra backdoor chamada Stubbedoor que é responsável por lançar uma montagem .NET criptografada recebida de um servidor de comando e controle (C2). Outros artefatos implantados ao longo dos ataques incluem um keylogger chamado xkeylog, um ladrão de dados do navegador da web, uma ferramenta para monitorar a presença de dispositivos portáteis e um programa de exfiltração de dados personalizado chamado DustyExfilTool que foi usado entre março de 2018 e janeiro de 2022. Presente no complexo arsenal de agentes e ferramentas maliciosos usados pelo Unfading Sea Haze, há uma terceira backdoor chamada SharpZulip que utiliza a API do serviço de mensagens Zulip para buscar comandos para execução de um fluxo chamado “NDFUIBNFWDNSA”. No Zulip, os fluxos (agora chamados de canais) são análogos a canais no Discord e Slack. Há evidências de que a exfiltração de dados é realizada manualmente pelo ator da ameaça para capturar informações de interesse, incluindo dados de aplicativos de mensagens como Telegram e Viber, e embalá-los na forma de um arquivo protegido por senha. “Essa mistura de ferramentas personalizadas e prontas para uso, juntamente com a extração manual de dados, mostra uma campanha de espionagem direcionada focada em adquirir informações sensíveis de sistemas comprometidos”, destacou Zugec. “Seu arsenal de malware personalizado, incluindo a família Gh0st RAT e Ps2dllLoader, mostra um foco na flexibilidade e técnicas de evasão. A mudança observada em direção à modularidade, elementos dinâmicos e execução em memória destaca seus esforços para contornar medidas de segurança tradicionais”.