Um grupo de ameaças com conexões na China foi identificado como responsável por uma intrusão que durou cinco meses em um provedor russo de serviços de TI.
Essa operação marca a expansão das atividades do grupo para além do Sudeste Asiático e da América do Sul, atingindo agora a Rússia.
De acordo com a Symantec, empresa do grupo Broadcom, o ataque, ocorrido entre janeiro e maio de 2025, é atribuído a um ator de ameaça chamado Jewelbug.
Esse grupo apresenta sobreposição com outros clusters monitoradas por empresas como Palo Alto Networks (CL-STA-0049), Trend Micro (Earth Alux) e Elastic Security Labs (REF7707).
Os resultados indicam que a Rússia não está imune às operações chinesas de ciberespionagem, mesmo diante do fortalecimento das relações militares, econômicas e diplomáticas entre Moscou e Pequim nos últimos anos.
Segundo a equipe de Threat Hunters da Symantec, os invasores tiveram acesso a repositórios de código e sistemas de build de software, potencialmente usados para executar ataques na cadeia de suprimentos direcionados a clientes russos.
Eles também exfiltraram dados para o serviço Yandex Cloud.
O grupo Earth Alux, ativo desde pelo menos o segundo trimestre de 2023, tem focado em setores como governo, tecnologia, logística, manufatura, telecomunicações, serviços de TI e varejo nas regiões da Ásia-Pacífico e América Latina.
Suas campanhas envolvem malwares como VARGEIT e COBEACON (também conhecido como Cobalt Strike Beacon).
Já as ações atribuídas aos clusters CL-STA-0049/REF7707 utilizam um backdoor avançado chamado FINALDRAFT (ou Squidoor), capaz de infectar sistemas Windows e Linux.
A conexão entre esses dois grupos é revelada pela primeira vez nos achados da Symantec.
No ataque ao provedor russo, Jewelbug utilizou uma versão renomeada do Microsoft Console Debugger ("cdb.exe"), ferramenta capaz de executar shellcode e contornar sistemas de allowlisting de aplicações.
A técnica permite o lançamento de executáveis, execução de DLLs e término de processos de segurança.
O grupo também recorreu ao dumping de credenciais, criou persistência por meio de tarefas agendadas e ocultou rastros, apagando logs de eventos do Windows.
O foco em provedores de serviços de TI é estratégico, pois viabiliza ataques à cadeia de suprimentos, permitindo comprometer múltiplos clientes finais por meio de atualizações maliciosas de software.
Além disso, Jewelbug foi vinculado a uma intrusão em julho de 2025 em uma grande organização governamental da América do Sul, onde implantou um backdoor até então não documentado.
Esse malware, em desenvolvimento, utiliza a Microsoft Graph API e o OneDrive para comunicação de comando e controle (C2).
Ele é capaz de coletar informações do sistema, enumerar arquivos nas máquinas-alvo e carregar esses dados no OneDrive.
O uso da Microsoft Graph API facilita a camuflagem junto ao tráfego normal de rede, deixando poucos vestígios para análises forenses e aumentando o tempo que o invasor permanece na rede sem ser detectado.
Outros alvos incluem um provedor de TI no sul da Ásia e uma empresa em Taiwan, atacados em outubro e novembro de 2024, respectivamente.
Na ofensiva contra a empresa taiwanesa, foi explorada a técnica de DLL side-loading para implantar cargas maliciosas, entre elas o ShadowPad, backdoor conhecido por ser exclusivo de grupos chineses.
A cadeia de infecção também contou com o uso da ferramenta KillAV para desativar softwares de segurança, além do EchoDrv, ferramenta pública que explora uma vulnerabilidade de leitura e escrita no kernel do driver anti-cheat ECHOAC.
Essa técnica é um exemplo de ataque BYOVD (bring your own vulnerable driver).
Ferramentas como LSASS e Mimikatz foram empregadas para extração de credenciais, enquanto utilitários de acesso livre como PrintNotifyPotato, Coerced Potato e Sweet Potato foram usados para reconhecimento e elevação de privilégios.
O grupo também utilizou um utilitário de tunelamento SOCKS chamado EarthWorm, adotado por equipes chinesas conhecidas, como Gelsemium e Lucky Mouse.
“A preferência do Jewelbug por serviços em nuvem e outras ferramentas legítimas ilustra que passar despercebido e manter uma presença furtiva e persistente nas redes das vítimas é prioridade máxima para este grupo”, declarou a Symantec.
A divulgação dessa investigação ocorre enquanto o Escritório de Segurança Nacional de Taiwan alerta para o aumento de ataques cibernéticos chineses contra órgãos governamentais locais.
O órgão também chamou atenção para o “exército de trolls online” de Pequim, responsável por distribuir conteúdo falso nas redes sociais, minando a confiança da população no governo e fomentando desconfiança em relação aos Estados Unidos, conforme reportagem da Reuters.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...