Hackers chineses Exploram IPv6 SLAAC
30 de Abril de 2025

Um grupo de ameaça persistente avançada (APT) alinhado com a China, chamado TheWizards, foi associado a uma ferramenta de movimento lateral chamada Spellbinder, que pode facilitar ataques de adversary-in-the-middle (AitM).

"Spellbinder habilita ataques de adversary-in-the-middle (AitM), através de spoofing de configuração automática de endereço stateless IPv6 (SLAAC), para mover-se lateralmente na rede comprometida, interceptando pacotes e redirecionando o tráfego de software chinês legítimo para que faça o download de atualizações maliciosas de um servidor controlado pelos atacantes," disse o pesquisador da ESET, Facundo Muñoz, em um relatório compartilhado com a imprensa.

O ataque abre caminho para um downloader malicioso que é entregue ao sequestrar o mecanismo de atualização de software associado ao Sogou Pinyin.

O downloader age então como um conduto para instalar um backdoor modular codinome WizardNet.

Não é a primeira vez que atores de ameaças chinesas abusam do processo de atualização de software do Sogou Pinyin para entregar seu próprio malware.

Em janeiro de 2024, a ESET detalhou um grupo de hacking referido como Blackwood que implantou um programa malicioso chamado NSPX30 aproveitando-se do mecanismo de atualização da aplicação de software de método de entrada chinesa.

Então, no início deste ano, a empresa de cibersegurança eslovaca revelou outro cluster de ameaças conhecido como PlushDaemon que utilizou a mesma técnica para distribuir um downloader personalizado chamado LittleDaemon.

O APT TheWizards é conhecido por mirar tanto indivíduos quanto o setor de jogos de azar no Camboja, Hong Kong, China Continental, Filipinas e Emirados Árabes Unidos.

As evidências sugerem que a ferramenta Spellbinder IPv6 AitM foi utilizada pelo ator de ameaça desde pelo menos 2022.

Embora o vetor de acesso inicial exato usado nos ataques seja desconhecido nesta fase, o acesso bem-sucedido é seguido pela entrega de um arquivo ZIP que contém quatro arquivos diferentes: AVGApplicationFrameHost.exe, wsc.dll, log.dat e winpcap.exe.

Os atores de ameaças, então, procedem para instalar "winpcap.exe" e executar "AVGApplicationFrameHost.exe", este último é abusado para carregar lateralmente o DLL.

O arquivo DLL subsequente lê shellcode de "log.dat" e o executa na memória, fazendo com que Spellbinder seja lançado no processo.

"Spellbinder usa a biblioteca WinPcap para capturar pacotes e responder a pacotes quando necessário," Muñoz explicou.

Ele aproveita o Protocolo de Descoberta de Rede do IPv6 em que mensagens de Anúncio de Roteador ICMPv6 anunciam que um roteador compatível com IPv6 está presente na rede para que hosts que suportam IPv6, ou estão solicitando um roteador compatível com IPv6, possam adotar o dispositivo anunciante como seu gateway padrão.

Em um caso de ataque observado em 2024, diz-se que os atores de ameaça utilizaram este método para sequestrar o processo de atualização de software para o Tencent QQ no nível DNS para servir uma versão trojanizada que então implanta WizardNet, um backdoor modular que está equipado para receber e executar payloads .NET no host infectado.

Spellbinder consegue isso interceptando a consulta DNS para o domínio de atualização de software ("update.browser.qq[.]com") e emitindo uma resposta DNS com o endereço IP de um servidor controlado pelo atacante ("43.155.62[.]54") hospedando a atualização maliciosa.

Outra ferramenta notável no arsenal de TheWizards é DarkNights, que também é chamada de DarkNimbus pela Trend Micro e foi atribuída a outro grupo chinês de hacking rastreado como Earth Minotaur.

Dito isso, ambos os clusters estão sendo tratados como operadores independentes, citando diferenças em ferramentas, infraestrutura e alvos.

Desde então, veio à tona que um contratado do ministério de segurança pública chinês chamado Sichuan Dianke Network Security Technology Co., Ltd. (também conhecido como UPSEC) é o fornecedor do malware DarkNimbus.

"Embora TheWizards use um backdoor diferente para Windows (WizardNet), o servidor de sequestro está configurado para servir DarkNights para aplicativos em atualização rodando em dispositivos Android," disse Muñoz.

Isso indica que a Dianke Network Security é um quartel-mestre digital para o grupo APT TheWizards.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...