Grupos de espionagem cibernética associados à China foram vinculados a uma campanha de longa duração que infiltrou vários operadores de telecomunicações localizados em um único país asiático pelo menos desde 2021.
"Os atacantes colocaram backdoors nas redes das empresas visadas e também tentaram roubar credenciais", disse a equipe Symantec Threat Hunter.
A empresa de cibersegurança não revelou o país que foi alvo, mas disse que encontrou evidências sugerindo que a atividade cibernética maliciosa pode ter começado tão cedo quanto 2020.
Os ataques também visaram uma empresa de serviços não nomeada que atendia ao setor de telecomunicações e uma universidade em outro país asiático.
A escolha de ferramentas usadas nesta campanha se sobrepõe com outras missões conduzidas por grupos de espionagem chineses como Mustang Panda (também conhecido como Earth Preta e Fireant), RedFoxtrot (também conhecido como Neeedleminer e Nomad Panda) e Naikon (também conhecido como Firefly) nos últimos anos.
Isso inclui backdoors personalizados rastreados como COOLCLIENT, QuickHeal e RainyDay, que vêm equipados com capacidades para capturar dados sensíveis e estabelecer comunicação com um servidor de command-and-control (C2).
Embora o caminho exato de acesso inicial usado para violar os alvos seja presentemente desconhecido, a campanha também é notável por implantar ferramentas de varredura de portas e conduzir roubo de credenciais por meio do dumping de hives do Windows Registry.
O fato de as ferramentas terem conexões com três coletivos adversários diferentes levantou várias possibilidades: Os ataques estão sendo conduzidos de forma independente uns dos outros, um único ator de ameaça está usando ferramentas adquiridas de outros grupos ou atores diversos estão colaborando em uma única campanha.
Também não está claro neste estágio qual é o motivo principal por trás das intrusões, embora os atores de ameaças chinesas tenham um histórico de mirar no setor de telecomunicações em todo o mundo.
Em novembro de 2023, a Kaspersky revelou uma campanha de malware ShadowPad visando uma das empresas de telecomunicações nacionais do Paquistão, explorando falhas de segurança conhecidas no Microsoft Exchange Server (
CVE-2021-26855
, também conhecido como ProxyLogon).
"Os atacantes podem ter estado reunindo inteligência sobre o setor de telecomunicações naquele país", postulou a Symantec.
A espionagem é outra possibilidade. Alternativamente, os atacantes podem ter tentado construir uma capacidade disruptiva contra infraestrutura crítica naquele país.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...