Um grupo alinhado à China, identificado pelo codinome UTA0388, está por trás de uma série de campanhas de spear phishing que visam alvos na América do Norte, Ásia e Europa.
Essas ações têm como objetivo a entrega de um implant baseado em Go, chamado GOVERSHELL.
De acordo com um relatório divulgado na última quarta-feira pela empresa de segurança Volexity, as primeiras campanhas foram cuidadosamente adaptadas para cada vítima.
As mensagens se passavam por pesquisadores ou analistas seniores de organizações fictícias com nomes aparentemente legítimos.
O objetivo dessas campanhas era enganar os alvos para que clicassem em links que levavam a arquivos hospedados remotamente, contendo payloads maliciosos.
Desde então, o grupo tem variado as iscas e identidades falsas, comunicando-se em vários idiomas, como inglês, chinês, japonês, francês e alemão.
As versões iniciais das campanhas continham links para conteúdos de phishing hospedados tanto em serviços na nuvem quanto na infraestrutura própria dos atacantes, resultando na instalação de malware.
Já as ondas mais recentes são descritas como “altamente customizadas”, utilizando uma tática conhecida como rapport-building phishing — em que os invasores estabelecem gradualmente uma relação de confiança com as vítimas antes de enviar os links maliciosos.
Independentemente da abordagem, os links levam a um arquivo compactado nos formatos ZIP ou RAR, que contém uma DLL maliciosa.
Essa DLL é carregada por meio da técnica conhecida como DLL side-loading.
O payload ativado é um backdoor em constante desenvolvimento chamada GOVERSHELL.
É importante destacar que essa atividade tem sobreposição com um cluster monitorado pela Proofpoint, sob a designação UNK_DropPitch.
Para a Volexity, o GOVERSHELL seria uma evolução do malware HealthKick, originalmente desenvolvido em C++.
Até o momento, foram identificadas cinco variantes distintas do GOVERSHELL:
- HealthKick (detectado pela primeira vez em abril de 2025), capaz de executar comandos por meio do cmd.exe;
- TE32 (junho de 2025), que executa comandos via reverse shell em PowerShell;
- TE64 (início de julho de 2025), que envia comandos nativos e dinâmicos via PowerShell para obter informações do sistema, horário, executar comandos e consultar um servidor externo por novas instruções;
- WebSocket (meados de julho de 2025), que executa comandos em PowerShell e contém um subcomando “update” ainda não implementado;
- Beacon (setembro de 2025), com funções para definir intervalos de polling personalizados e executar comandos via PowerShell.
Para distribuir esses arquivos, os atacantes abusaram de serviços legítimos como Netlify, Sync e OneDrive.
As mensagens de phishing foram enviadas usando contas do Proton Mail, Microsoft Outlook e Gmail.
Um aspecto notável das operações do UTA0388 é o uso do ChatGPT, da OpenAI, para gerar o conteúdo dos e-mails de phishing em inglês, chinês e japonês.
A inteligência artificial também foi empregada para auxiliar na execução dos fluxos maliciosos e na busca por informações sobre ferramentas open-source utilizadas na campanha, como nuclei e fscan.
A OpenAI já baniu as contas associadas ao grupo.
Segundo a Volexity, o uso do modelo de linguagem (LLM) fica evidente nas mensagens fraudulentas, tanto pela construção das identidades falsas quanto pela incoerência geral do conteúdo.
“O perfil da campanha indica interesse em questões geopolíticas asiáticas, com foco especial em Taiwan”, afirma a empresa.
“Temos uma confiança média de que o UTA0388 automatizou a geração e o envio desses conteúdos, com pouca ou nenhuma supervisão humana em alguns casos.”
Essa revelação ocorre paralelamente à divulgação feita pelo StrikeReady Labs, que identificou uma campanha suspeita de espionagem cibernética ligada à China.
O alvo principal foi um departamento do governo sérvio relacionado à aviação, além de outras instituições na Hungria, Bélgica, Itália e Holanda.
Essa operação, observada no final de setembro, envolve o envio de e-mails de phishing com links que redirecionam para uma falsa página de verificação CAPTCHA da Cloudflare.
O clique leva ao download de um arquivo ZIP que contém um atalho (LNK) do Windows capaz de executar um script PowerShell.
Esse script abre um documento falso como distração e, de forma oculta, carrega a ameaça PlugX usando DLL side-loading.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...