Uma operação de ciberespionagem supostamente vinculada à China tem como alvo organizações militares do Sudeste Asiático desde, pelo menos, 2020.
A campanha, considerada patrocinada por um Estado, foi monitorada pela Unit 42, da Palo Alto Networks, que a classificou como CL-STA-1087 — em que “CL” indica cluster e “STA” se refere à motivação estatal.
Segundo os pesquisadores de segurança Lior Rochberger e Yoav Zemah, os atacantes demonstraram notável paciência operacional e uma abordagem focada na coleta seletiva de inteligência, em vez do roubo massivo de dados.
“Eles buscaram e obtiveram arquivos específicos sobre capacidades militares, estruturas organizacionais e colaborações com forças armadas ocidentais”, destacam.
A campanha exibe características típicas de ataques avançados persistentes (APT), como métodos de entrega cuidadosamente elaborados, técnicas para evitar detecção, infraestrutura operacional estável e payloads customizados que garantem acesso contínuo aos sistemas comprometidos.
Entre as ferramentas usadas pelos invasores estão os backdoors AppleChris e MemFun, além do coletor de credenciais Getpass.
A Palo Alto Networks identificou a atividade maliciosa após detectar execuções suspeitas de scripts PowerShell, que simulavam um período de inatividade de seis horas antes de estabelecer conexões reversas com servidores de comando e controle (C2) controlados pelos criminosos.
A forma exata do acesso inicial, porém, não foi descoberta.
O AppleChris é implantado em várias versões nos endpoints afetados após movimentação lateral, visando persistência e evasão de mecanismos baseados em assinaturas.
Os atacantes investigaram arquivos ligados a registros oficiais de reuniões, operações militares conjuntas e análises detalhadas das capacidades operacionais.
“O maior interesse recaiu sobre documentos relacionados à estrutura organizacional e estratégias militares, incluindo sistemas C4I (comando, controle, comunicações, computadores e inteligência)”, afirmam os especialistas.
Os backdoors AppleChris e MemFun acessam uma conta compartilhada no Pastebin, que funciona como dead drop para obter o endereço real do servidor C2, codificado em Base64.
Uma das versões do AppleChris também usa o Dropbox para buscar essas informações, recorrendo ao Pastebin como plano B.
Os dados no Pastebin foram encontrados desde setembro de 2020.
O AppleChris é ativado por meio de DLL hijacking, estabelecendo contato com o servidor C2 para executar comandos como enumeração de drives, listagem de diretórios, upload, download e exclusão de arquivos, além de execução remota de shell e criação silenciosa de processos.
Já a variante MemFun representa uma evolução, pois depende exclusivamente do Pastebin para receber o endereço C2 e conta com funcionalidades avançadas de proxy de rede.
“Para evitar sistemas automáticos de segurança, alguns malwares da campanha acionam táticas de evasão em sandbox, ativando execuções retardadas com timers de 30 segundos (EXE) e 120 segundos (DLL), ultrapassando as janelas típicas de monitoramento”
O MemFun é disparado por meio de uma cadeia multifásica: um loader inicial injeta shellcode que lança um downloader em memória.
Esse downloader obtém a configuração do C2 no Pastebin, se comunica com o servidor e recupera uma DLL responsável por ativar o backdoor propriamente dito.
Como a DLL é baixada em tempo de execução, os invasores podem distribuir outros payloads sem modificar o malware base, tornando o MemFun uma plataforma modular — diferente do AppleChris, que é um backdoor estático.
Sua execução começa com um dropper que realiza verificações antiforenses e altera o timestamp da criação do arquivo para coincidir com o do diretório Windows System.
Em seguida, o payload principal é injetado na memória de um processo suspenso chamado “dllhost.exe”, por meio da técnica de process hollowing.
Isso permite que o malware rode disfarçado como um processo legítimo do Windows, dificultando a detecção e a geração de vestígios no disco.
Além disso, os atacantes utilizam uma versão customizada do Mimikatz, chamada Getpass, para escalar privilégios e extrair senhas em texto puro, hashes NTLM e outros dados de autenticação diretamente da memória do processo “lsass.exe”.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...