Uma entidade governamental na Guiana foi alvo de uma campanha de ciberespionagem chamada Operação Jacana.
A atividade, que foi detectada pela ESET em fevereiro de 2023, consistia em um ataque de spear-phishing que resultou no emprego de um implante até então não documentado escrito em C++ chamado DinodasRAT.
A empresa de cibersegurança eslovaca disse que conseguiu associar a intrusão a um ator ou grupo de ameaça conhecido, mas atribuiu com confiança média a um adversário com conexões à China, devido ao uso do PlugX (também conhecido como Korplug), um trojan de acesso remoto comum em equipes de hackers chinesas.
"Esta campanha foi direcionada, já que os atores de ameaças modelaram seus e-mails especificamente para atrair sua organização vítima escolhida", disse a ESET em um relatório compartilhado com o The Hacker News.
"Após comprometer com sucesso um conjunto inicial, porém limitado, de máquinas com o DinodasRAT, os operadores procederam para se mover dentro e violar a rede interna do alvo, onde novamente empregaram este backdoor".
A sequência de infecção começou com um e-mail de phishing contendo um link armadilha com assunto referenciando uma suposta notícia sobre um fugitivo guianense no Vietnã.
Se um destinatário clicar no link, um arquivo de arquivo ZIP é baixado do domínio fta.moit.gov[.]vn, indicando um comprometimento de um site governamental vietnamita para hospedar a carga maliciosa.
Embutido no arquivo ZIP está um executável que lança o malware DinodasRAT para coletar informações sensíveis do computador da vítima.
O DinodasRAT, além de criptografar as informações que envia para o servidor de comando e controle (C2) usando o Tiny Encryption Algorithm (TEA), tem capacidades para exfiltrar metadados do sistema, arquivos, manipular chaves do registro do Windows e executar comandos.
Também foram implementadas ferramentas para movimentação lateral, o Korplug, e o cliente SoftEther VPN, este último tem sido usado por outro grupo afiliado à China rastreado pela Microsoft como Flax Typhoon.
"Os atacantes usaram uma combinação de ferramentas anteriormente desconhecidas, como o DinodasRAT, e backdoors mais tradicionais, como o Korplug", disse o pesquisador da ESET, Fernando Tavella.
"Com base nos e-mails de spear-phishing usados para obter acesso inicial à rede da vítima, os operadores estão acompanhando as atividades geopolíticas de suas vítimas para aumentar a probabilidade de sucesso de sua operação".
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...