Hackers patrocinados por estados, vinculados ao grupo de atividade Silk Typhoon, atacaram diplomatas ao sequestrar o tráfego web para redirecioná-lo a um site que distribui malware.
Os invasores utilizaram uma técnica avançada de adversary-in-the-middle (AitM) para sequestrar o captive portal da rede e direcionar a vítima para um malware de primeira fase.
O Google Threat Intelligence Group (GTIG) monitora esse ator de ameaça como UNC6384 e, com base nas ferramentas utilizadas, no alvo e na infraestrutura, acredita que ele esteja associado ao grupo chinês TEMP.Hex, também conhecido como Mustang Panda e Silk Typhoon.
Pesquisadores do GTIG acreditam que o ataque AitM foi possível após o comprometimento de um dispositivo de borda (edge device) na rede alvo; entretanto, não encontraram evidências concretas que comprovem essa hipótese.
O ataque começa quando o navegador Chrome verifica se está atrás de um captive portal — uma página web onde os usuários precisam se autenticar antes de acessar a internet.
Com o controle do tráfego web, os hackers redirecionam a vítima para uma página de landing que finge ser um site de atualização de plugin da Adobe.
As vítimas acabam baixando um arquivo digitalmente assinado, denominado ‘AdobePlugins.exe’, apresentado como uma atualização necessária de plugin, e recebem instruções passo a passo no site para contornar os alertas de segurança do Windows durante a instalação.
Ao executar esse arquivo, é exibido o instalador do Microsoft Visual C++, mas, secretamente, ele baixa um pacote MSI camuflado (20250509.bmp) contendo uma ferramenta legítima de impressora Canon, uma DLL chamada CANONSTAGER, e o backdoor SOGU.SEC, em formato criptografado com RC-4.
O CANONSTAGER é responsável por descriptografar e carregar o payload final na memória do sistema, utilizando a técnica de DLL side-loading.
O SOGU.SEC, que o Google identifica como uma variante do malware PlugX — amplamente utilizado por diversos grupos chineses — tem capacidade para coletar informações do sistema, fazer upload ou download de arquivos e fornecer uma shell remota para comandos.
Os pesquisadores do GTIG destacam que ainda não está claro se a entidade que assina os arquivos usados nessa campanha, a Chengdu Nuoxin Times Technology Co., Ltd, está participando conscientemente dessas operações ou se foi comprometida.
No entanto, o GTIG monitora pelo menos 25 amostras de malware assinadas por essa empresa desde o início de 2023, associadas a diferentes grupos de atividade chineses.
Considerar todos os certificados da Chengdu Nuoxin Times Technology Co., Ltd como não confiáveis é uma medida defensiva razoável até que a situação seja esclarecida.
O Google bloqueou os domínios maliciosos e os hashes dos arquivos via Safe Browsing, além de emitir alertas de ataques respaldados por governos para usuários afetados do Gmail e do Workspace.
A empresa também compartilhou regras YARA para detectar o STATICPLUGIN e o CANONSTAGER, bem como indicadores de comprometimento (IoCs) relacionados a todos os arquivos coletados dessas investidas.
Essa campanha mais recente evidencia a crescente sofisticação dos atores de espionagem ligados à China, que provavelmente mudarão rapidamente sua infraestrutura e versões dos binários para continuar suas operações.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...