Um grupo ameaçador chinês, alinhado com o Estado, tem extraído e-mails e arquivos de alto escalão de governos e alvos militares em todo o Oriente Médio, África e Sudeste Asiático diariamente desde o final de 2022.

A Operação Espectro Diplomático, uma campanha de espionagem descrita em um novo relatório da Unidade 42 da Palo Alto Networks, visa ministérios de relações exteriores, entidades militares, embaixadas e muito mais, em pelo menos sete países em três continentes. Seu objetivo é obter informações classificadas e sensíveis sobre conflitos geopolíticos, missões diplomáticas e econômicas, operações militares, reuniões políticas e cúpulas, políticos e militares de alto escalão, e, principalmente, embaixadas e ministérios de relações exteriores.

A campanha está em andamento, e os atacantes já demonstraram disposição para continuar espionando, mesmo após serem expostos e expulsos de redes comprometidas.

Os ataques do Espectro Diplomático começam mirando servidores web e servidores Microsoft Exchange. Os atacantes exploram esses ativos expostos à Internet usando duas vulnerabilidades críticas de três anos atrás – ProxyLogon e ProxyShell – e implantes VBScript na memória.

Com acesso inicial em mãos, o grupo fez uso de um total de 16 ferramentas maliciosas. Algumas são programas de código aberto comuns, como a ferramenta de escaneamento nbtscan JuicyPotatoNG, uma ferramenta de escalonamento de privilégios para Windows, e o Mimikatz para roubo de credenciais. Algumas são mais singulares, como o Yasso, uma ferramenta de penetração chinesa relativamente nova e poderosa que os atacantes podem usar para forçar, escanear, shell interativo, execução de comando arbitrário e muito mais. Nunca antes os atores de ameaças foram registrados usando Yasso na natureza.

O Espectro Diplomático também faz uso de algumas famílias de malware chinesas notórias como o PlugX e o China Chopper. Mais notavelmente, ele utiliza o Gh0st RAT, tanto como meio de consolidar sua presença em sistemas-alvo quanto como inspiração para backdoors personalizados do Espectro Diplomático.

Em primeiro lugar está o SweetSpecter, uma nova variante do Gh0st RAT surgido em 2023, largamente projetado para comunicações de comando e controle eficazes. Depois, há o TunnelSpecter, que, além de tunelamento de C2, identifica máquinas vítimas e possibilita a execução de comando arbitrário. O TunnelSpecter é codificado com o nome de usuário SUPPORT_388945c0, uma tentativa aberta de imitar a conta padrão SUPPORT_388945a0 associada ao recurso de Assistência Remota do Windows.

O objetivo de tudo isso é alcançar a caixa de entrada de e-mails de um alvo de alto valor, a partir da qual o Espectro Diplomático começará a extrair silenciosamente e-mails e arquivos sensíveis. Às vezes, o grupo extrai a caixa de entrada inteira de uma vítima. Outras vezes é mais específico, usando buscas por palavras-chave para filtrar assuntos de interesse para a República Popular da China – dados militares, informações de telecomunicações e energia, material relacionado a Xi Jinping, Joe Biden e outros líderes políticos, e assim por diante.

A defesa contra o Espectro Diplomático começa bloqueando seus meios de acesso inicial, por meio de correções e endurecimento de ativos expostos à Internet. Afinal, suas vítimas muito importantes parecem ter sucumbido a vulnerabilidades conhecidas publicamente há algum tempo antes de ocorrerem quaisquer ataques.

Depois disso, diz Assaf Dahan, diretor de pesquisa de ameaças da Cortex na Palo Alto Networks, trata-se de defesa em profundidade.

“Vemos organizações de todo o mundo que não praticam uma boa ciber-higiene, e elas deixam enormes brechas para os hackers entrarem,” diz ele. “[Você precisa de] todas as camadas de segurança que puder obter: monitoramento de rede, detecção e resposta, soluções de e-mail em nuvem.

“Depois de erguer cercas suficientes, realmente torna-se mais difícil para os atores mal-intencionados entrarem em sua rede.”