Um novo grupo de ataque cibernético alinhado à China, identificado como LongNosedGoblin, foi responsável por uma série de invasões direcionadas a entidades governamentais no Sudeste Asiático e no Japão.
Segundo relatório divulgado pela empresa eslovaca de cibersegurança ESET, o principal objetivo dessas operações é o cyber espionage.
Estima-se que o grupo esteja ativo desde pelo menos setembro de 2023.
Os pesquisadores Anton Cherepanov e Peter Strýček explicam que o LongNosedGoblin utiliza o Group Policy, mecanismo do Windows para gerenciar configurações e permissões, para distribuir malware na rede comprometida.
Além disso, fazem uso de serviços em nuvem, como Microsoft OneDrive e Google Drive, como servidores de comando e controle (C&C).
O ataque envolve um conjunto diversificado de ferramentas customizadas, predominantemente desenvolvidas em C#/.NET, entre elas:
- NosyHistorian: coleta o histórico de navegação dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox;
- NosyDoor: backdoor que opera via Microsoft OneDrive como C&C, executando comandos para exfiltrar e deletar arquivos, além de rodar comandos shell;
- NosyStealer: realiza a exfiltração de dados dos navegadores Google Chrome e Microsoft Edge para o Google Drive em arquivo TAR criptografado;
- NosyDownloader: responsável por baixar e executar payloads maliciosas em memória, como o NosyLogger;
- NosyLogger: versão modificada do DuckSharp usada para registrar teclas digitadas (keylogger).
A ESET detectou as primeiras atividades do grupo em fevereiro de 2024, em um sistema governamental do Sudeste Asiático, período em que o Group Policy foi utilizado para distribuir malware a diversas máquinas da organização.
Os métodos exatos de acesso inicial ainda são desconhecidos.
Análises adicionais indicam que, enquanto muitos alvos foram infectados pelo NosyHistorian entre janeiro e março de 2024, apenas alguns foram comprometidos pelo NosyDoor, sugerindo uma abordagem mais seletiva.
Em certos casos, o dropper do backdoor, implementado via injeção AppDomainManager, contém “execução guardrail” para operar apenas em sistemas específicos.
Outras ferramentas empregadas incluem um proxy reverso SOCKS5, um programa para gravação de áudio e vídeo, além de um loader Cobalt Strike.
A ESET também destaca que o modus operandi do LongNosedGoblin apresenta semelhanças tênues com os grupos ToddyCat e Erudite Mogwai, embora não haja evidências conclusivas que os conectem.
Por outro lado, a similaridade entre o NosyDoor e o malware LuckyStrike Agent, junto à referência “Paid Version” no caminho do PDB do LuckyStrike Agent, indica que o malware pode estar sendo vendido ou licenciado para outros grupos de ameaça.
Os pesquisadores identificaram ainda uma variante do NosyDoor atacando uma organização na União Europeia, desta vez utilizando TTPs diferentes e o serviço Yandex Disk como servidor C&C — reforçando a hipótese de que o malware circula entre múltiplos grupos alinhados à China.
Este é um alerta importante para órgãos governamentais e empresas da região manterem suas defesas atualizadas e monitorar o uso de ferramentas administrativas, como o Group Policy, que, quando exploradas, podem facilitar ataques sofisticados de espionagem.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...