Pesquisadores de cibersegurança descobriram o que eles dizem ser uma atividade cibernética maliciosa orquestrada por dois proeminentes grupos de hackers patrocinados pelo Estado chinês, que visam 24 organizações governamentais cambojanas.
"Essa atividade é acreditada ser parte de uma campanha de espionagem a longo prazo", disseram os pesquisadores da Unidade 42 da Palo Alto Networks em um relatório na semana passada.
"A atividade observada se alinha com os objetivos geopolíticos do governo chinês no sentido de aproveitar suas fortes relações com o Camboja para projetar seu poder e expandir suas operações navais na região."
As organizações visadas incluem defesa, supervisão eleitoral, direitos humanos, tesouro e finanças nacionais, comércio, política, recursos naturais e telecomunicações.
A avaliação deriva da natureza persistente das conexões de rede de entrada originadas dessas entidades para uma infraestrutura adversária ligada à China que se disfarça como serviços de backup e armazenamento na nuvem ao longo de "vários meses".
Algumas dos domínios de controle (C2) estão listados abaixo -
api.infinitycloud[.]info
connect.infinitycloud[.]info
connect.infinitybackup[.]net
file.wonderbackup[.]com
login.wonderbackup[.]com
update.wonderbackup[.]com
A tática é provavelmente uma tentativa por parte dos invasores de passar despercebidos e mesclarem-se com o tráfego de rede legítimo.
Além disso, os vínculos com a China são baseados no fato de que a atividade do ator de ameaças foi observada principalmente durante o horário comercial regular na China, com uma queda registrada no final de setembro e início de outubro de 2023, coincidindo com as férias nacionais da Semana Dourada, antes de retomar os níveis regulares em 9 de outubro.
Grupos de hackers com nexo na China como Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat e UNC4191 lançaram uma série de campanhas de espionagem visando setores públicos e privados em toda a Ásia nos últimos meses.
No mês passado, os Laboratórios de Segurança Elástica detalharam um conjunto de intrusões denominado REF5961 que foi encontrado utilizando backdoors personalizados como EAGERBEE, RUDEBIRD, DOWNTOWN e BLOODALCHEMY em seus ataques direcionados aos países da Associação de Nações do Sudeste Asiático (ASEAN).
As famílias de malware "foram descobertas co-residentes com um conjunto de intrusões anteriormente relatado, REF2924", este último avaliado como um grupo alinhado com a China devido ao seu uso de ShadowPad e sobreposições táticas com Winnti e ChamelGang.
As divulgações também seguem um relatório da Recorded Future destacando a mudança na atividade de espionagem cibernética chinesa, descrevendo-a como mais madura e coordenada, e com um forte foco em explorar falhas conhecidas e de zero-day em servidores de email voltados ao público, segurança e aparelhos de rede.
Desde o início de 2021, foram atribuídos a grupos patrocinados pelo estado chinês a exploração de 23 vulnerabilidades zero-day, incluindo aquelas identificadas no Microsoft Exchange Server, Solarwinds Serv-U, Sophos Firewall, Fortinet FortiOS, Barracuda Email Security Gateway e Atlassian Confluence Data Center e Server.
As operações cibernéticas patrocinadas pelo estado evoluíram "de ampla propriedade intelectual para uma abordagem mais direcionada apoiando metas estratégicas, econômicas e geopolíticas específicas, como aquelas relacionadas à Iniciativa Belt and Road e tecnologias críticas", disse a empresa.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...