O grupo avançado de ameaças persistentes (APT) ligado à China, conhecido como APT31, foi atribuído a ataques cibernéticos direcionados ao setor de tecnologia da informação (TI) da Rússia entre 2024 e 2025, mantendo-se discretamente ativo por longos períodos.
Segundo os pesquisadores da Positive Technologies, Daniil Grigoryan e Varvara Koloskova, em relatório técnico, “durante 2024 e 2025, o setor de TI russo, especialmente empresas que atuam como contratadas e integradoras de soluções para órgãos governamentais, enfrentou uma série de ataques direcionados”.
Também conhecido pelos codinomes Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres e Violet Typhoon (antigo Zirconium), o APT31 está ativo desde pelo menos 2010.
O grupo já realizou operações contra diversos setores, incluindo governos, financeiro, aeroespacial e defesa, alta tecnologia, construção, telecomunicações, mídia e seguros.
O principal foco do APT31 é a ciberespionagem, buscando coleta de informações que possam oferecer vantagens políticas, econômicas e militares para Pequim e empresas estatais chinesas.
Em maio de 2025, o grupo foi responsabilizado pela República Tcheca por ataques ao seu Ministério das Relações Exteriores.
Os ataques à Rússia se destacam pelo uso de serviços legítimos de nuvem — predominantemente populares no país, como o Yandex Cloud — para operações de comando e controle (C2) e exfiltração de dados, disfarçando o tráfego para evitar detecção.
Além disso, os invasores utilizaram comandos e payloads criptografados hospedados em perfis de redes sociais, nacionais e internacionais, além de realizarem ataques durante fins de semana e feriados.
Em um dos incidentes contra uma empresa de TI, o APT31 conseguiu acesso à rede já no final de 2022, intensificando suas ações durante as festas de Ano-Novo de 2023.
Em outra invasão detectada em dezembro de 2024, os hackers enviaram um e-mail de spear-phishing com um arquivo RAR contendo um atalho (LNK) do Windows que acionava um loader do Cobalt Strike chamado CloudyLoader via DLL side-loading.
A Kaspersky detalhou essa atividade em julho de 2025, apontando conexões com um cluster de ameaças conhecido como EastWind.
A empresa russa também identificou iscas em arquivos ZIP que se passavam por relatórios do Ministério das Relações Exteriores do Peru, usados para distribuir o CloudyLoader.
Para sustentar as fases seguintes dos ataques, o APT31 utiliza um amplo conjunto de ferramentas públicas e personalizadas, entre elas:
- SharpADUserIP: utilitário em C# para reconhecimento e descoberta;
- SharpChrome.exe: extrai senhas e cookies dos navegadores Google Chrome e Microsoft Edge;
- SharpDir: busca arquivos;
- StickyNotesExtract.exe: extrai dados do banco de dados do Windows Sticky Notes;
- Tailscale VPN: cria túnel criptografado e configura rede peer-to-peer (P2P) entre o host comprometido e a infraestrutura do grupo;
- Microsoft dev tunnels: realiza tunelamento de tráfego;
- Owawa: módulo malicioso para IIS que rouba credenciais;
- AufTime: backdoor Linux que usa a biblioteca wolfSSL para comunicação com o C2;
- COFFProxy: backdoor em Golang que suporta comandos de tunelamento, execução, gerenciamento de arquivos e entrega de payloads adicionais;
- VtChatter: ferramenta que usa comentários codificados em Base64 em arquivo hospedado no VirusTotal como canal bidirecional de C2 a cada duas horas;
- OneDriveDoor: backdoor que utiliza o Microsoft OneDrive como canal de comando e controle;
- LocalPlugX: variante do PlugX usada para propagação na rede local, sem comunicação direta com o C2;
- CloudSorcerer: backdoor que emprega serviços em nuvem para C2;
- YaLeak: ferramenta .NET para upload de informações no Yandex Cloud.
De acordo com a Positive Technologies, “o APT31 está constantemente renovando seu arsenal, embora mantenha algumas ferramentas antigas.
Para C2, o grupo utiliza ativamente serviços de nuvem, especialmente Yandex e Microsoft OneDrive.
Muitas ferramentas operam em modo servidor, aguardando a conexão dos atacantes com o host infectado”.
Além disso, o grupo exfiltra dados por meio do armazenamento em nuvem do Yandex.
Essas técnicas permitiram ao APT31 permanecer invisível nas infraestruturas das vítimas durante anos, enquanto coletava arquivos e informações confidenciais, incluindo senhas de e-mails e serviços internos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...