O ator de ameaça vinculado à China responsável pela recente exploração in-the-wild de uma falha de segurança crítica em SAP NetWeaver foi atribuído a um conjunto mais amplo de ataques visando organizações no Brasil, Índia e Sudeste Asiático desde 2023.
"O ator de ameaça mira principalmente nas vulnerabilidades de SQL injection descobertas em aplicações web para acessar os servidores SQL das organizações visadas", disse Joseph C Chen, pesquisador de segurança da Trend Micro, em uma análise publicada esta semana.
O ator também se aproveita de diversas vulnerabilidades conhecidas para explorar servidores de face pública.
Alguns dos outros alvos proeminentes do coletivo adversário incluem Indonésia, Malásia, Filipinas, Tailândia e Vietnã.
A empresa de cibersegurança está rastreando a atividade sob o codinome Earth Lamia, afirmando que a atividade compartilha algum grau de sobreposição com clusters de ameaças documentados pelo Elastic Security Labs como REF0657, Sophos como STAC6451 e Palo Alto Networks Unit 42 como CL-STA-0048.
Cada um desses ataques mirou em organizações que abrangem múltiplos setores na Ásia do Sul, frequentemente aproveitando-se de Microsoft SQL Servers expostos à internet e outras instâncias para conduzir reconhecimento, implantar ferramentas pós-exploração como Cobalt Strike e Supershell, e estabelecer túneis proxy para as redes das vítimas utilizando Rakshasa e Stowaway.
Também são utilizadas ferramentas de escalonamento de privilégios como GodPotato e JuicyPotato; utilitários de varredura de rede como Fscan e Kscan; e programas legítimos como wevtutil.exe para limpar logs de eventos de Aplicação, Sistema e Segurança do Windows.
Intrusões específicas voltadas para entidades indianas também tentaram implantar binários do ransomware Mimic para criptografar arquivos das vítimas, embora os esforços tenham sido em grande parte malsucedidos.
"Embora os atores tenham sido vistos preparando os binários do ransomware Mimic em todos os incidentes observados, o ransomware frequentemente não executava com sucesso, e em várias instâncias, os atores tentaram deletar os binários após serem implantados", observou a Sophos em uma análise publicada em agosto de 2024.
Então, no início deste mês, a EclecticIQ divulgou que o CL-STA-0048 estava entre os muitos grupos de ciberespionagem com nexos na China a explorar a
CVE-2025-31324
, uma crítica vulnerabilidade de upload de arquivo não autenticado em SAP NetWeaver para estabelecer um shell reverso para infraestrutura sob seu controle.
Além da
CVE-2025-31324
, a equipe de hackers é dita ter armado até oito vulnerabilidades diferentes para violar servidores de face pública:
-
CVE-2017-9805
- vulnerabilidade de execução de código remoto no Apache Struts2
-
CVE-2021-22205
- vulnerabilidade de execução de código remoto no GitLab
-
CVE-2024-9047
- vulnerabilidade de acesso arbitrário a arquivos no plugin WordPress File Upload
-
CVE-2024-27198
- vulnerabilidade de bypass de autenticação no JetBrains TeamCity
-
CVE-2024-27199
- vulnerabilidade de traversal de caminho no JetBrains TeamCity
- CVE-2024-51378 - vulnerabilidade de execução de código remoto no CyberPanel
-
CVE-2024-51567
- vulnerabilidade de execução de código remoto no CyberPanel
-
CVE-2024-56145
- vulnerabilidade de execução de código remoto no Craft CMS
Descrevendo-o como "altamente ativo", a Trend Micro observou que o ator de ameaça deslocou seu foco dos serviços financeiros para logística e varejo online, e, mais recentemente, para empresas de TI, universidades e organizações governamentais.
"No início de 2024 e antes, observamos que a maioria dos seus alvos eram organizações dentro da indústria financeira, especificamente relacionadas a títulos e corretagem", disse a empresa.
No segundo semestre de 2024, eles mudaram seus alvos para organizações principalmente nas indústrias de logística e varejo online.
Recentemente, notamos que seus alvos mudaram novamente para empresas de TI, universidades e organizações governamentais.
Uma técnica notável adotada pela Earth Lamia é lançar seus backdoors personalizados como PULSEPACK via DLL side-loading, uma abordagem amplamente adotada por grupos de hackers chineses.
Um implante baseado em .NET modular, PULSEPACK comunica-se com um servidor remoto para recuperar vários plugins para realizar suas funções.
A Trend Micro disse ter observado, em março de 2025, uma versão atualizada do backdoor que muda o método de comunicação de comando e controle (C2) de TCP para WebSocket, indicando um desenvolvimento ativo e contínuo do malware.
"A Earth Lamia está conduzindo suas operações em múltiplos países e indústrias com intenções agressivas", concluiu.
Ao mesmo tempo, o ator de ameaça continua refinando suas táticas de ataque desenvolvendo ferramentas de hacking customizadas e novos backdoors.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...