Um grupo de ciberespionagem vinculado à China manteve, por várias semanas em abril de 2025, acesso não autorizado à rede de uma organização sem fins lucrativos dos Estados Unidos que atua em temas de política externa. A invasão, detalhada por equipes da Broadcom (Symantec e Carbon Black), faz parte de uma ofensiva maior contra entidades norte-americanas envolvidas em assuntos de governo.
Como o ataque ocorreu
A primeira atividade suspeita foi registrada em 5 de abril de 2025, quando os invasores realizaram varreduras em servidores da ONG explorando falhas conhecidas, entre elas:
- CVE-2022-26134 (Atlassian)
- CVE-2021-44228 (Apache Log4j)
- CVE-2017-9805 (Apache Struts)
- CVE-2017-17562 (GoAhead Web Server)
Após 11 dias de silêncio, em 16 de abril os atacantes executaram comandos curl para testar conectividade, coletaram informações de rede com netstat e criaram uma tarefa agendada para garantir persistência. O agendamento utiliza o binário legítimo msbuild.exe para rodar um payload não identificado e cria outra tarefa que roda a cada 60 minutos com privilégios de SISTEMA.
Essa segunda tarefa injeta código em csc.exe, que se comunica com um servidor de comando e controle (38.180.83[.]166). Em seguida, um carregador personalizado descompacta e executa, em memória, um provável trojan de acesso remoto.
Os criminosos também usaram o componente legítimo do antivírus Vipre (vetysafe.exe) para realizar DLL side-loading com o arquivo sbamres.dll — técnica já vista em operações atribuídas aos grupos Salt Typhoon (Earth Estries), Earth Longzhi e Space Pirates. Ferramentas como Dcsync e Imjpuexc também foram observadas.
Não houve novos registros após 16 de abril. Mesmo assim, Symantec e Carbon Black ressaltam que o objetivo era manter presença discreta na rede e obter controle de controladores de domínio, o que facilitaria a movimentação lateral.
Imagem: Internet
Outras campanhas associadas a grupos chineses
Relatórios recentes indicam atividade constante de coletivos alinhados a Pequim em diversos continentes:
- Salt Typhoon explorou a falha CVE-2025-8088 no WinRAR para carregar código malicioso que se conecta a mimosa.gleeze[.]com.
- Speccom/IndigoZebra/SMAC atacou o setor de energia na Ásia Central, em julho de 2025, distribuindo BLOODALCHEMY, kidsRAT e RustVoralix.
- DigitalRecyclers comprometeu organizações europeias, no mesmo mês, usando a ferramenta de acessibilidade Magnifier para obter privilégios de SISTEMA.
- FamousSparrow visou governos na América Latina (junho a setembro de 2025) explorando falhas ProxyLogon no Microsoft Exchange para implantar SparrowDoor.
- SinisterEye (LuoYu/Cascade Panda) atacou empresas em Taiwan, China, Grécia e Equador, entre maio e setembro de 2025, entregando WinDealer (Windows) e SpyDealer (Android) por meio de ataques adversary-in-the-middle.
- PlushDaemon invadiu, em junho de 2025, uma companhia japonesa e uma multinacional no Camboja, redirecionando DNS com a ferramenta EdgeStepper para instalar o backdoor SlowStepper.
Falhas em servidores IIS continuam alvo
Pesquisadores da Elastic Security Labs identificaram o grupo REF3927 explorando machine keys ASP.NET expostas em servidores IIS para implantar o backdoor TOLLBOOTH, que combina recursos de SEO cloaking e web shell. Segundo a empresa francesa HarfangLab, centenas de servidores — principalmente na Índia e nos EUA — foram comprometidos e também receberam ferramentas como Godzilla, GotoHTTP, Mimikatz e o rootkit HIDDENDRIVER.
A variedade de táticas e o compartilhamento de ferramentas tornam a atribuição precisa dos ataques um desafio constante, destacam os analistas.
Com informações de The Hacker News
