Um grupo de ameaças com conexões chinesas, conhecido como UNC6384, foi responsabilizado por uma série de ataques direcionados a diplomatas no Sudeste Asiático e outras entidades ao redor do mundo, com o objetivo de promover os interesses estratégicos de Pequim.
“Essa cadeia de ataque em múltiplas etapas utiliza engenharia social avançada, incluindo certificados válidos de code signing, um ataque adversary-in-the-middle (AitM) e técnicas de execução indireta para evitar a detecção”, afirmou Patrick Whitsell, pesquisador do Google Threat Intelligence Group (GTIG).
Avalia-se que o UNC6384 compartilha sobreposições táticas e de ferramentas com um grupo de hackers chinês conhecido como Mustang Panda, também monitorado sob os nomes BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TEMP.Hex e Twill Typhoon.
A campanha, detectada pelo GTIG em março de 2025, é caracterizada pela utilização de um captive portal redirect para sequestrar o tráfego web e entregar um downloader assinado digitalmente chamado STATICPLUGIN.
Esse downloader prepara o caminho para o deployment em memória de uma variante do PlugX (também conhecido como Korplug ou SOGU), chamada SOGU.SEC.
PlugX é um backdoor que suporta comandos para exfiltrar arquivos, registrar keystrokes, abrir um remote command shell, fazer upload/download de arquivos, e pode estender sua funcionalidade com plugins adicionais.
Frequentemente ativado via DLL side-loading, esse implant é disseminado por meio de drives USB, e-mails de phishing direcionados com anexos ou links maliciosos, ou downloads de software comprometidos.
O malware existe desde pelo menos 2008 e é amplamente utilizado por grupos de hackers chineses.
Acredita-se que o ShadowPad seja o sucessor do PlugX.
A cadeia de ataque do UNC6384 é relativamente direta, pois táticas de adversary-in-the-middle (AitM) e engenharia social são usadas para entregar o malware PlugX:
- O navegador web da vítima testa se a conexão com a internet está atrás de um captive portal
- Um AitM redireciona o navegador para um site controlado pelo agente de ameaça
- STATICPLUGIN é baixado do domínio “mediareleaseupdates[.]com”
- STATICPLUGIN busca um pacote MSI no mesmo site
- CANONSTAGER é carregado via DLL side-loading e implanta o backdoor SOGU.SEC em memória
O sequestro por captive portal é utilizado para entregar malware disfarçado como uma atualização do Adobe Plugin para as entidades alvo.
No navegador Chrome, a funcionalidade do captive portal é realizada por meio de uma requisição a uma URL fixa (“www.gstatic[.]com/generate_204”) que redireciona os usuários para uma página de login Wi-Fi.
Embora “gstatic[.]com” seja um domínio legítimo do Google usado para armazenar código JavaScript, imagens e folhas de estilo com o objetivo de melhorar o desempenho, o Google afirmou que os agentes de ameaças provavelmente estão realizando um ataque AitM para simular cadeias de redirecionamento da página do captive portal até a página controlada pelo atacante.
Avalia-se que o AitM é facilitado por meio de dispositivos edge comprometidos nas redes-alvo, embora o vetor de ataque utilizado para isso ainda seja desconhecido neste estágio.
“Após o redirecionamento, o agente de ameaça tenta enganar a vítima fazendo-a acreditar que uma atualização de software é necessária e a convencer a baixar o malware disfarçado como uma ‘atualização de plugin’”, afirmou o GTIG.
A página de destino se assemelha a um site legítimo de atualizações de software e usa uma conexão HTTPS com um certificado TLS válido emitido pela Let’s Encrypt.
O resultado final é o download de um executável chamado “AdobePlugins.exe” (também conhecido como STATICPLUGIN) que, ao ser executado, aciona o payload SOGU.SEC em segundo plano usando uma DLL chamada CANONSTAGER (“cnmpaui.dll”), que é carregada via side-loading utilizando a ferramenta Canon IJ Printer Assistant Tool (“cnmpaui.exe”).
O downloader STATICPLUGIN é assinado pela Chengdu Nuoxin Times Technology Co., Ltd com um certificado válido emitido pela GlobalSign.
Mais de duas dezenas de amostras de malware assinadas pela Chengdu têm sido utilizadas por grupos de atividade com conexões chinesas, com artefatos datando de pelo menos janeiro de 2023.
Ainda não está claro como esses certificados são obtidos pelo assinante.
“Essa campanha é um exemplo claro da evolução contínua das capacidades operacionais do UNC6384 e destaca a sofisticação dos agentes de ameaça vinculados à RPC (República Popular da China)”, disse Whitsell.
O uso de técnicas avançadas, como AitM combinado com code signing válido e engenharia social em múltiplas camadas, demonstra a capacidade desse grupo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...