Grupo chinês RedGolf mira sistemas Windows e Linux com backdoor KEYPLUG
31 de Março de 2023

Um grupo de atividade ameaçadora patrocinada pelo estado chinês, rastreado como RedGolf, foi atribuído ao uso de um backdoor personalizado do Windows e Linux chamado KEYPLUG.

"RedGolf é um grupo de atores ameaçadores patrocinados pelo estado chinês particularmente prolífico que provavelmente tem estado ativo há muitos anos contra uma ampla gama de indústrias globalmente", disse a Recorded Future ao The Hacker News.

"O grupo demonstrou a capacidade de rapidamente armar vulnerabilidades recém-reportadas (por exemplo, Log4Shell e ProxyLogon) e tem um histórico de desenvolvimento e uso de uma ampla gama de famílias de malware personalizado."

O uso do KEYPLUG por atores ameaçadores chineses foi revelado pela Manidant, de propriedade do Google, em março de 2022, em ataques direcionados a múltiplas redes de governos estaduais dos EUA entre maio de 2021 e fevereiro de 2022.

Então, em outubro de 2022, a Malwarebytes detalhou um conjunto separado de ataques direcionados a entidades governamentais no Sri Lanka no início de agosto que alavancou um implante novo chamado DBoxAgent para implantar o KEYPLUG.

Ambas as campanhas foram atribuídas a Winnti (também conhecido como APT41, Barium, Bronze Atlas ou Wicked Panda), que a Recorded Future disse "se sobrepõe de perto" com RedGolf.

"Ainda não observamos uma vitimologia específica como parte da última atividade RedGolf destacada", disse a Recorded Future.

"No entanto, acreditamos que esta atividade provavelmente está sendo conduzida para fins de inteligência em vez de ganho financeiro devido às sobreposições com campanhas de ciberespionagem relatadas anteriormente."

A empresa de segurança cibernética, além de detectar um conjunto de amostras KEYPLUG e infraestrutura operacional (codinome GhostWolf) usada pelo grupo de hackers de pelo menos 2021 a 2023, observou seu uso de outras ferramentas como Cobalt Strike e PlugX.

A infraestrutura GhostWolf, por sua vez, consiste em 42 endereços IP que funcionam como comando e controle do KEYPLUG.

O coletivo adversário também foi observado utilizando uma mistura de domínios tradicionalmente registrados e domínios DNS dinâmicos, muitas vezes apresentando um tema de tecnologia, para atuarem como pontos de comunicação para o Cobalt Strike e PlugX.

"RedGolf continuará a demonstrar um alto ritmo operacional e rapidamente armar vulnerabilidades em dispositivos corporativos voltados para fora (VPNs, firewalls, servidores de e-mail, etc.) para ganhar acesso inicial às redes de destino", disse a empresa.

Para se defender contra ataques do RedGolf, as organizações são recomendadas a aplicar patches regularmente, monitorar o acesso a dispositivos de rede voltados para o exterior, rastrear e bloquear a infraestrutura de comando e controle identificada e configurar sistemas de detecção ou prevenção de intrusão para monitorar detecções de malware.

As descobertas surgem quando a Trend Micro revelou que descobriu mais de 200 vítimas de ataques do Mustang Panda (também conhecido como Earth Preta) como parte de um esforço de ciberespionagem de longo alcance orquestrado por vários subgrupos associados ao ator de ameaça desde 2022.

A maioria dos ataques cibernéticos foi detectada na Ásia, seguida pela África, Europa, Oriente Médio, Oceania, América do Norte e América do Sul.

"Existem fortes indicações de tradecraft de inteligência tradicional entrelaçado e esforços de coleta cibernética, indicativos de uma operação de ciberespionagem altamente coordenada e sofisticada", disse a Trend Micro.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...