A atividade de reconhecimento que teve como alvo a empresa americana de cibersegurança SentinelOne fez parte de um conjunto mais amplo de intrusões parcialmente relacionadas em vários alvos entre julho de 2024 e março de 2025.
"A vitimologia inclui uma entidade governamental do sul da Ásia, uma organização de mídia europeia e mais de 70 organizações em uma ampla gama de setores", disseram os pesquisadores de segurança da SentinelOne, Aleksandar Milenkoski e Tom Hegel, em um relatório publicado hoje.
Alguns dos setores visados incluem manufatura, governo, finanças, telecomunicações e pesquisa.
Entre as vítimas estava também uma empresa de serviços de TI e logística que estava gerenciando a logística de hardware para os funcionários da SentinelOne no momento da violação, no início de 2025.
A atividade maliciosa foi atribuída com alta confiança a atores de ameaças com nexos na China, com alguns dos ataques vinculados a um cluster de ameaça apelidado de PurpleHaze, que, por sua vez, se sobrepõe com grupos chineses de espionagem cibernética publicamente reportados como APT15 e UNC5174.
No final de abril de 2024, a SentinelOne divulgou pela primeira vez a atividade de reconhecimento relacionada ao PurpleHaze visando alguns de seus servidores que estavam deliberadamente acessíveis pela internet "em virtude de sua funcionalidade".
"As atividades do ator de ameaça limitaram-se ao mapeamento e avaliação da disponibilidade de servidores específicos voltados para a internet, provavelmente em preparação para possíveis ações futuras", disseram os pesquisadores.
Atualmente, não se sabe se a intenção dos atacantes era apenas visar a organização de logística de TI ou se eles planejavam expandir seu foco para organizações downstream também.
Uma investigação mais aprofundada sobre os ataques descobriu seis clusters de atividade diferentes (nomeados de A a F) que remontam a junho de 2024 com o comprometimento de uma entidade governamental sul-asiática não nomeada.
Os clusters estão listados abaixo:
Atividade A: Uma intrusão em uma entidade governamental sul-asiática (junho de 2024)
Atividade B: Um conjunto de intrusões visando organizações globalmente (Entre julho de 2024 e março de 2025)
Atividade C: Uma intrusão em uma empresa de serviços de TI e logística (no início de 2025)
Atividade D: Uma intrusão na mesma entidade governamental sul-asiática comprometida (outubro de 2024)
Atividade E: Atividade de reconhecimento visando os servidores da SentinelOne (outubro de 2024)
Atividade F: Uma intrusão em uma renomada organização de mídia europeia (final de setembro de 2024)
O ataque de junho de 2024 contra a entidade governamental, como detalhado anteriormente pela SentinelOne, teria levado à implantação do ShadowPad que está ofuscado usando ScatterBrain.
Os artefatos e a infraestrutura do ShadowPad se sobrepõem com campanhas recentes do ShadowPad que entregaram uma família de ransomware codinome NailaoLocker após a exploração de dispositivos de gateway da Check Point.
Subsequentemente, em outubro de 2024, a mesma organização foi visada para implantar um reverse shell baseado em Go apelidado de GoReShell que usa SSH para conectar a um host infectado.
O mesmo backdoor, observou a SentinelOne, foi usado em conexão com um ataque de setembro de 2024 destinado a uma organização de mídia europeia líder.
Comum a esses dois clusters de atividade também é o uso de ferramentas desenvolvidas por uma equipe de especialistas em segurança de TI que se autodenominam The Hacker's Choice (THC).
A marcação é a primeira vez que os programas de software da THC foram abusados por atores patrocinados pelo estado.
A SentinelOne atribuiu a Atividade F a um ator com nexos na China com afiliações vagas a um "corretor de acesso inicial" rastreado pelo Google Mandiant sob o nome de UNC5174 (aka Uteus ou Uetus).
Vale notar que o grupo de ameaças foi recentemente vinculado à exploração ativa de falhas no SAP NetWeaver para entregar GOREVERSE, uma variante do GoReShell.
A empresa de cibersegurança está rastreando coletivamente a Atividade D, E e F como PurpleHaze.
"O ator de ameaça se aproveitou da infraestrutura de rede ORB [operational relay box], que avaliamos ser operada da China, e explorou a vulnerabilidade
CVE-2024-8963
junto com a
CVE-2024-8190
para estabelecer um ponto de apoio inicial, alguns dias antes das vulnerabilidades serem divulgadas publicamente", disseram os pesquisadores.
Após comprometer esses sistemas, suspeita-se que a UNC5174 tenha transferido o acesso para outros atores de ameaças.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...