Pesquisadores de cibersegurança trouxeram à tona um ator de ameaça anteriormente não documentado, chamado NightEagle (também conhecido como APT-Q-95), que foi observado atacando servidores Microsoft Exchange como parte de uma cadeia de exploração de zero-day projetada para mirar nos setores governamentais, de defesa e tecnologia na China.
Segundo a equipe RedDrip da QiAnXin, o ator de ameaça está ativo desde 2023 e mudou sua infraestrutura de rede em uma velocidade extremamente rápida.
Os achados foram apresentados na CYDES 2025, a terceira edição da Exposição e Conferência Nacional de Defesa Cibernética & Segurança da Malásia, realizada entre 1 e 3 de julho de 2025.
"Parece ter a velocidade de uma águia e tem operado à noite na China," disse o fornecedor de cibersegurança, explicando a razão por trás do nome do adversário, NightEagle.
Os ataques realizados pelo ator de ameaça visaram entidades que operam nos verticais de alta tecnologia, semicondutores de chips, tecnologia quântica, inteligência artificial e militar com o objetivo principal de coletar informações, acrescentou a QiAnXin.
A empresa também observou que iniciou uma investigação depois de descobrir em um dos endpoints de seus clientes uma versão personalizada da utilidade Chisel baseada em Go, que foi configurada para iniciar automaticamente a cada quatro horas como parte de uma tarefa agendada.
"O atacante modificou o código-fonte da ferramenta de penetração de intranet de código aberto Chisel, codificou os parâmetros de execução, utilizou o nome de usuário e senha especificados, estabeleceu uma conexão socks com a extremidade 443 do endereço C&C especificado e mapeou para a porta especificada do host C&C para alcançar a função de penetração da intranet," disse em um relatório.
Diz-se que o trojan é entregue por meio de um carregador .NET, que, por sua vez, é implantado no serviço Internet Information Server (IIS) do Microsoft Exchange Server.
Análises adicionais determinaram a presença de um zero-day que permitiu aos atacantes obter o machineKey e ganhar acesso não autorizado ao Exchange Server.
"O atacante usou a chave para desserializar o servidor Exchange, implantando assim um Trojan em qualquer servidor que esteja de acordo com a versão do Exchange, e lendo remotamente os dados de caixa de correio de qualquer pessoa," disse o relatório.
A QiAnXin afirmou que a atividade provavelmente era obra de um ator de ameaça da América do Norte, dado que os ataques ocorreram entre 21h e 6h, horário de Pequim.
Também disse que o ator de ameaça exibe todas as características de um grupo de APT, descrevendo-o como "rápido, preciso e impiedoso."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...