Hackers apoiados pelo estado chinês invadiram uma rede de computadores usada pelas forças armadas holandesas, mirando dispositivos Fortinet FortiGate.
"Esta [rede de computadores] era usada para pesquisa e desenvolvimento (P&D) não classificada," disse o Serviço de Inteligência e Segurança Militar Holandês (MIVD) em um comunicado.
"Como este sistema era autônomo, não resultou em nenhum dano à rede de defesa".
A rede tinha menos de 50 usuários.
A invasão, que ocorreu em 2023, aproveitou uma falha de segurança crítica conhecida no FortiOS SSL-VPN (
CVE-2022-42475
, pontuação CVSS: 9.3) que permite a um atacante não autenticado executar código arbitrário por meio de solicitações especialmente elaboradas.
A exploração bem-sucedida da falha abriu caminho para a implantação de um backdoor chamado COATHANGER a partir de um servidor controlado pelo ator, projetado para conceder acesso remoto persistente aos aparelhos comprometidos.
"O malware COATHANGER é furtivo e persistente", disse o Centro Nacional de Segurança Cibernética da Holanda (NCSC).
"Ele se esconde por meio de chamadas de sistema que poderiam revelar sua presença.
Ele sobrevive a reinicializações e atualizações de firmware."
COATHANGER é distinto de BOLDMOVE, outro backdoor ligado a um suposto ator de ameaças baseado na China que se sabe ter explorado a
CVE-2022-42475
como um zero-day em ataques a uma entidade governamental europeia e um provedor de serviços gerenciados (MSP) localizado na África já em outubro de 2022.
O acontecimento marca a primeira vez que a Holanda atribui publicamente uma campanha de espionagem cibernética à China.
Reuters, que publicou a história, disse que o malware tem o nome de um trecho de código que continha uma linha de Lamb to the Slaughter, um conto do autor britânico Roald Dahl.
Ele também surge dias depois de as autoridades dos EUA tomarem medidas para desmantelar uma botnet composta por roteadores Cisco e NetGear desatualizados que eram usados por atores de ameaças chineses como o Volt Typhoon para ocultar a origem do tráfego malicioso.
No ano passado, a Mandiant de propriedade do Google revelou que um grupo de espionagem cibernética de nexos chineses rastreado como UNC3886 explorou zero-days em aparelhos Fortinet para implantar THINCRUST e CASTLETAP para executar comandos arbitrários recebidos de um servidor remoto e exfiltrar dados sensíveis.
Publicidade
A Dola é uma IA que funciona diretamente no WhatsApp ou Telegram, permitindo que você gerencie sua agenda — seja do Google Calendar ou do iPhone — de forma simples e intuitiva, mandando mensagens de texto, áudio ou até imagens.
Com a Dola, você recebe lembretes inteligentes, ligações na hora dos compromissos, resumo diário da sua agenda, pode fazer perguntas a qualquer momento e até receber, todos os dias, a previsão do tempo.
Perfeita para quem busca mais organização, foco e produtividade no dia a dia.
E o melhor: é gratuito! Experimente agora.
Saiba mais...