Um grupo alinhado à China, conhecido como TA415, foi identificado realizando campanhas de spear-phishing direcionadas ao governo dos Estados Unidos, think tanks e instituições acadêmicas.
Essas ações utilizam temas econômicos relacionados à relação entre EUA e China como isca para atrair as vítimas, segundo análise da empresa de segurança Proofpoint.
Durante essas campanhas, observadas entre julho e agosto de 2025, o grupo se passou pelo atual presidente do Select Committee on Strategic Competition between the United States and the Chinese Communist Party (CCP) e pelo U.S.-China Business Council.
O objetivo era atingir indivíduos e organizações que trabalham com relações bilaterais, comércio e políticas econômicas entre os EUA e a China.
De acordo com a Proofpoint, essa ação provavelmente integra uma estratégia de atores estatais chineses focada na coleta de inteligência, justamente em meio às negociações comerciais em curso entre os dois países.
A empresa também destacou que o grupo tem conexões com as ameaças conhecidas como APT41 e Brass Typhoon (antigo Barium).
Esse relatório surge poucos dias após o Select Committee on China da Câmara dos Deputados dos EUA divulgar um alerta sobre uma série “em andamento” de campanhas de espionagem cibernética altamente direcionadas.
Entre essas campanhas, estava uma tentativa de phishing que simulava o congressista republicano John Robert Moolenaar, com a intenção de entregar malware voltado para roubo de dados.
A campanha da TA415 focou principalmente em profissionais que atuam em comércio internacional, política econômica e relações EUA-China.
Eles receberam e-mails falsos do U.S.-China Business Council convidando para um suposto briefing fechado sobre questões envolvendo EUA, Taiwan e China.
Os ataques usaram o endereço de e-mail "uschina@zohomail[.]com" e empregaram o serviço de VPN Cloudflare WARP para ocultar a origem dos ataques.
As mensagens continham links para arquivos protegidos por senha hospedados em serviços de compartilhamento na nuvem, como Zoho WorkDrive, Dropbox e OpenDrive.
Dentro desses arquivos havia um atalho do Windows (LNK) e outros arquivos escondidos em uma pasta oculta.
O arquivo LNK tinha a função principal de executar um script em batch localizado na pasta oculta e, ao mesmo tempo, exibir um documento PDF falso para enganar o usuário.
Enquanto isso, o script rodava em segundo plano um carregador Python ofuscado chamado WhirlCoil, que também estava presente no arquivo.
“Versões anteriores dessa cadeia de infecção baixavam o carregador Python WhirlCoil de sites de Paste, como Pastebin, e o pacote Python diretamente do site oficial do Python”, explicou a Proofpoint.
O script também configura uma tarefa agendada, geralmente com nomes como GoogleUpdate ou MicrosoftHealthcareMonitorNode, para executar o carregador a cada duas horas, garantindo persistência no sistema.
Caso o usuário tenha privilégios administrativos, a tarefa é executada com privilégios de SYSTEM.
O carregador Python então cria um túnel remoto usando o Visual Studio Code, possibilitando o acesso persistente via backdoor.
Ele coleta informações do sistema e conteúdos de diretórios de usuário, enviando esses dados para um serviço gratuito de logging de requisições (por exemplo, requestrepo[.]com) codificados em base64 dentro do corpo de uma requisição HTTP POST.
“Com esse código, o ator de ameaça consegue autenticar o túnel remoto do VS Code e acessar remotamente o sistema de arquivos, além de executar comandos arbitrários pelo terminal embutido do Visual Studio na máquina comprometida”, concluiu a Proofpoint.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...