Hackers Chineses TAG-74 Miram Organizações Sul-Coreanas em uma Campanha de Vários Anos
26 de Setembro de 2023

Uma campanha de espionagem cibernética patrocinada pelo Estado chinês "de vários anos" tem sido observada visando organizações acadêmicas, políticas e governamentais da Coreia do Sul.

O Grupo Insikt da Recorded Future, que está rastreando a atividade sob o apelido TAG-74, disse que o adversário foi vinculado à "inteligência militar chinesa e representa uma ameaça significativa para entidades acadêmicas, aeroespaciais e de defesa, governamentais, militares e políticas na Coreia do Sul, Japão e Rússia".

A empresa de cibersegurança caracterizou o alvo das instituições acadêmicas sul-coreanas como um esforço mais amplo da China para conduzir o roubo de propriedade intelectual e expandir sua influência, sem mencionar a motivação pelas relações estratégicas do país com os EUA.

Os ataques de engenharia social montados pelo adversário usam iscas de arquivo HTML compilado da Microsoft (CHM) para soltar uma variante personalizada de um backdoor de script básico visual de código aberto chamado ReVBShell, que posteriormente serve para implantar o cavalo de Troia de acesso remoto Bisonal.

O ReVBShell está configurado para dormir por um intervalo especificado por meio de um comando emitido a partir de um servidor remoto que pode editar o período de tempo.

Também usa a codificação Base64 para mascarar o tráfego de comando e controle (C2).

O uso do ReVBShell foi associado a dois outros clusters com vínculo com a China conhecidos como Tick e Tonto Team, com este último atribuído a uma sequência de infecção idêntica pelo Centro de Resposta a Emergências de Segurança da AhnLab (ASEC) em abril de 2023.

Bisonal é um cavalo de Troia multifuncional que pode colher informações de processo e arquivo, executar comandos e arquivos, encerrar processos, baixar e enviar arquivos, e excluir arquivos arbitrários no disco.

O TAG-74 está vinculado de perto ao Tick, destacando mais uma vez o compartilhamento de ferramentas entre os grupos de ameaças chineses.

"A campanha TAG-74 observada é indicativa dos objetivos de coleta de inteligência de longo prazo do grupo contra alvos sul-coreanos", disse a Recorded Future.

"Dado o foco persistente do grupo em organizações sul-coreanas ao longo de muitos anos e a provável abrangência operacional do Comando do Teatro do Norte, é provável que o grupo continue a ser altamente ativo na coleta de inteligência de longo prazo sobre alvos estratégicos na Coreia do Sul, bem como no Japão e na Rússia."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...