Um grupo de hackers patrocinado pelo estado chinês ressurgiu com uma nova campanha direcionada a entidades governamentais, de saúde, tecnologia e manufatura com base em Taiwan, Tailândia, Filipinas e Fiji, depois de mais de seis meses sem atividade.
A Trend Micro atribuiu o conjunto de intrusões a um grupo de espionagem cibernética que rastreia sob o nome de Earth Longzhi, que é um subgrupo dentro do APT41 (também conhecido como HOODOO ou Winnti) e compartilha sobreposições com vários outros clusters conhecidos como Earth Baku, SparklingGoblin e GroupCC.
Earth Longzhi foi documentado pela primeira vez pela empresa de segurança cibernética em novembro de 2022, detalhando seus ataques contra várias organizações localizadas no leste e sudeste da Ásia, bem como na Ucrânia.
As cadeias de ataque montadas pelo ator ameaçador usam aplicativos vulneráveis de frente pública como pontos de entrada para implantar o shell da web BEHINDER e, em seguida, aproveitam esse acesso para soltar payloads adicionais, incluindo uma nova variante de um carregador Cobalt Strike chamado CroxLoader.
O malware, chamado SPHijacker, utiliza uma segunda técnica referida como "stack rumbling" para alcançar o mesmo objetivo, que envolve fazer alterações no Registro do Windows para interromper o fluxo de execução do processo e causar deliberadamente a falha das aplicações visadas no lançamento.
As abordagens gêmeas estão longe de serem os únicos métodos que podem ser usados para prejudicar produtos de segurança.
Trend Micro observou que identificou documentos isca escritos em vietnamita e indonésio, indicando possíveis tentativas de atingir usuários em ambos os países no futuro.
"Earth Longzhi continua ativo e continua a melhorar suas táticas, técnicas e procedimentos (TTPs)", observaram os pesquisadores de segurança Ted Lee e Hara Hiroaki.
"As organizações devem permanecer vigilantes contra o desenvolvimento contínuo de novos esquemas furtivos por parte de criminosos cibernéticos."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...