Um ator de ameaças baseado na China, conhecido como Emperor Dragonfly e comumente associado a empreendimentos cibercriminosos, foi observado utilizando um conjunto de ferramentas em um ataque de ransomware anteriormente atribuído a atores de espionagem.
Os hackers implementaram o ransomware RA World contra uma empresa asiática de software e serviços e exigiram um pagamento inicial de resgate de $2 milhões.
Pesquisadores da Equipe de Caçadores de Ameaças da Symantec observaram a atividade no final de 2024 e destacam uma possível sobreposição entre atores de ciberespionagem apoiados pelo estado e grupos de cibercrime motivados financeiramente.
"Durante o ataque no final de 2024, o atacante implementou um conjunto de ferramentas distinto que havia sido usado anteriormente por um ator vinculado à China em ataques clássicos de espionagem", dizem os pesquisadores, adicionando que "ferramentas associadas a grupos de espionagem baseados na China são frequentemente recursos compartilhados", mas "muitos não estão disponíveis publicamente e geralmente não são associados à atividade de cibercrime."
Um relatório em julho de 2024 da Unit 42 da Palo Alto Networks também associou Emperor Dragonfly (também conhecido como Bronze Starlight) com RA World, embora com baixa confiança.
Segundo os pesquisadores, o RA World surgiu do RA Group, que foi lançado em 2023 como uma família baseada em Babuk.
Entre julho de 2024 a janeiro de 2025, o ator de espionagem baseado na China visou ministérios governamentais e operadores de telecomunicações no Sudeste da Europa e na Ásia, com o aparente objetivo de persistência de longo prazo.
Nesses ataques, uma variante específica do backdoor PlugX (Korplug) foi implementada com um executável da Toshiba (toshdpdb.exe) via sideloading de DLL, junto com uma DLL maliciosa (toshdpapi.dll).
Além disso, a Symantec observou o uso do proxy NPS, uma ferramenta desenvolvida na China usada para comunicação de rede sigilosa, e vários payloads criptografados com RC4.
Em novembro de 2024, o mesmo payload Korplug foi usado contra uma empresa de software do Sul da Ásia.
Desta vez, foi seguido por um ataque de ransomware RA World.
O invasor teria explorado uma vulnerabilidade no Palo Alto PAN-OS (CVE-2024-0012) para infiltrar na rede e então seguiu a mesma técnica de sideloading envolvendo o executável da Toshiba e o arquivo DLL para implementar o Korplug antes de criptografar as máquinas.
Com base nas evidências disponíveis, a hipótese é que os operativos cibernéticos apoiados pelo estado chinês, realizando ataques de espionagem, podem "trabalhar como freelancers" como atores de ransomware para lucro pessoal.
O relatório da Symantec lista os indicadores de comprometimento (IoCs) associados à atividade observada para ajudar os defensores a detectar e bloquear os ataques antes que danos sejam feitos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...