Uma campanha de espionagem cibernética patrocinada pelo Estado chinês "de vários anos" tem sido observada visando organizações acadêmicas, políticas e governamentais da Coreia do Sul.
O Grupo Insikt da Recorded Future, que está rastreando a atividade sob o apelido TAG-74, disse que o adversário foi vinculado à "inteligência militar chinesa e representa uma ameaça significativa para entidades acadêmicas, aeroespaciais e de defesa, governamentais, militares e políticas na Coreia do Sul, Japão e Rússia".
A empresa de cibersegurança caracterizou o alvo das instituições acadêmicas sul-coreanas como um esforço mais amplo da China para conduzir o roubo de propriedade intelectual e expandir sua influência, sem mencionar a motivação pelas relações estratégicas do país com os EUA.
Os ataques de engenharia social montados pelo adversário usam iscas de arquivo HTML compilado da Microsoft (CHM) para soltar uma variante personalizada de um backdoor de script básico visual de código aberto chamado ReVBShell, que posteriormente serve para implantar o cavalo de Troia de acesso remoto Bisonal.
O ReVBShell está configurado para dormir por um intervalo especificado por meio de um comando emitido a partir de um servidor remoto que pode editar o período de tempo.
Também usa a codificação Base64 para mascarar o tráfego de comando e controle (C2).
O uso do ReVBShell foi associado a dois outros clusters com vínculo com a China conhecidos como Tick e Tonto Team, com este último atribuído a uma sequência de infecção idêntica pelo Centro de Resposta a Emergências de Segurança da AhnLab (ASEC) em abril de 2023.
Bisonal é um cavalo de Troia multifuncional que pode colher informações de processo e arquivo, executar comandos e arquivos, encerrar processos, baixar e enviar arquivos, e excluir arquivos arbitrários no disco.
O TAG-74 está vinculado de perto ao Tick, destacando mais uma vez o compartilhamento de ferramentas entre os grupos de ameaças chineses.
"A campanha TAG-74 observada é indicativa dos objetivos de coleta de inteligência de longo prazo do grupo contra alvos sul-coreanos", disse a Recorded Future.
"Dado o foco persistente do grupo em organizações sul-coreanas ao longo de muitos anos e a provável abrangência operacional do Comando do Teatro do Norte, é provável que o grupo continue a ser altamente ativo na coleta de inteligência de longo prazo sobre alvos estratégicos na Coreia do Sul, bem como no Japão e na Rússia."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...