Um grupo de ameaça ligado à China foi identificado como responsável por um ataque cibernético direcionado a uma organização sem fins lucrativos dos Estados Unidos, com o objetivo de estabelecer uma presença persistente e de longo prazo.
A ação integra uma campanha mais ampla voltada a entidades americanas relacionadas a questões políticas.
Segundo relatório das equipes Symantec e Carbon Black, da Broadcom, a organização atacada atua na tentativa de influenciar políticas governamentais dos EUA em assuntos internacionais.
Os invasores mantiveram acesso à rede por várias semanas em abril de 2025.
A primeira atividade foi detectada em 5 de abril de 2025, quando foram realizados escaneamentos intensivos contra um servidor, explorando vulnerabilidades conhecidas, como
CVE-2022-26134
(Atlassian),
CVE-2021-44228
(Apache Log4j),
CVE-2017-9805
(Apache Struts) e
CVE-2017-17562
(GoAhead Web Server).
Após esse período, nada foi registrado até 16 de abril, quando os atacantes executaram comandos curl para testar a conectividade com a internet.
Em seguida, usaram a ferramenta netstat no Windows para coletar informações sobre a configuração de rede.
Posteriormente, configuraram uma tarefa agendada para manter persistência no sistema.
Essa tarefa acionava o binário legítimo da Microsoft "msbuild.exe" para executar um payload desconhecido e criava outra tarefa agendada, configurada para rodar a cada 60 minutos com privilégios elevados do usuário SYSTEM.
De acordo com os pesquisadores, essa nova tarefa carregava e injetava código em "csc.exe", estabelecendo comunicação com um servidor de comando e controle (C2) identificado pelo IP 38.180.83[.]166.
Também foi observado o uso de um carregador personalizado para descompactar e executar um payload provavelmente do tipo remote access trojan (RAT) diretamente na memória.
Além disso, a execução do componente legítimo do antivírus Vipre ("vetysafe.exe") para realizar DLL side-loading da biblioteca "sbamres.dll" chamou atenção dos especialistas.
Essa técnica de DLL side-loading havia sido associada a ataques anteriores vinculados ao grupo Salt Typhoon (também conhecido como Earth Estries) e a subgrupos da APT41, incluindo Earth Longzhi.
A Broadcom destacou que uma cópia dessa DLL maliciosa foi usada em ataques relacionados ao ator de ameaça chinês Space Pirates e que uma variante com nome diferente foi empregada pelo grupo Kelp (também Salt Typhoon) em outro incidente.
Outras ferramentas identificadas na rede incluíam Dcsync e Imjpuexc.
Até o momento, não está claro o grau de eficácia das ações dos invasores, já que nenhuma atividade adicional foi detectada após 16 de abril de 2025.
Os analistas da Symantec e Carbon Black ressaltaram que os atacantes tinham a intenção clara de impor uma presença persistente e furtiva na rede, demonstrando especial interesse em controladores de domínio, o que poderia facilitar a propagação para múltiplas máquinas da infraestrutura.
Esse tipo de compartilhamento de ferramentas entre grupos chineses é uma tendência conhecida, o que dificulta a atribuição definitiva das ações a um grupo específico.
Na mesma semana, o pesquisador de segurança conhecido como BartBlaze revelou que o Salt Typhoon explorou uma vulnerabilidade no WinRAR (
CVE-2025-8088
) para iniciar uma cadeia de ataque que realiza DLL sideloading, responsável por executar shellcode na máquina comprometida.
O payload final visa estabelecer conexão com o servidor remoto mimosa.gleeze[.]com.
Outras Atividades de Grupos Chineses
Um relatório da ESET aponta que grupos alinhados à China seguem ativos, realizando ataques na Ásia, Europa, América Latina e Estados Unidos para promover as prioridades geopolíticas de Pequim.
Entre as campanhas recentes estão:
- Ataques ao setor de energia da Ásia Central, em julho de 2025, pelo grupo Speccom, que enviou phishing para entregar variantes do BLOODALCHEMY e backdoors personalizados como kidsRAT e RustVoralix.
- Investidas contra organizações europeias pelo grupo DigitalRecyclers, também em julho de 2025, usando uma técnica incomum para obter persistência: a ferramenta de acessibilidade Magnifier para adquirir privilégios SYSTEM.
- Atividades contra entidades governamentais na América Latina (Argentina, Equador, Guatemala, Honduras e Panamá) entre junho e setembro de 2025, atribuídas ao grupo FamousSparrow, que provavelmente explorou falhas ProxyLogon no Microsoft Exchange para implantar o malware SparrowDoor.
- Ataques entre maio e setembro de 2025 a uma empresa taiwanesa do setor aeroespacial, uma organização comercial dos EUA com sede na China, escritórios chineses de uma entidade governamental grega e um órgão governamental equatoriano, realizados pelo grupo SinisterEye (também conhecido como LuoYu e Cascade Panda).
Foram empregadas malwares como WinDealer (Windows) e SpyDealer (Android) em ataques do tipo adversary-in-the-middle (AitM) para sequestrar atualizações legítimas de software.
- Sob o codinome PlushDaemon, um grupo realizou ataques em junho de 2025 a uma empresa japonesa e a uma multinacional no Camboja, utilizando ataques AitM para envenenar conexões e entregar o backdoor SlowStepper.
De acordo com a ESET, o PlushDaemon alcança a posição AitM comprometendo dispositivos de rede, como roteadores, e implantando uma ferramenta chamada EdgeStepper.
Essa ferramenta redireciona o tráfego DNS da rede alvo para um servidor DNS controlado pelos atacantes, que responde às consultas relacionadas a atualizações de software com o IP do servidor malicioso onde está o backdoor SlowStepper.
Grupos Chineses e Servidores IIS Mal Configurados
Pesquisadores de segurança identificaram recentemente um ator chinês focado em servidores IIS mal configurados, explorando chaves de máquina ASP.NET expostas publicamente para instalar um backdoor chamado TOLLBOOTH (ou HijackServer), que inclui técnicas de SEO cloaking e web shell.
Segundo o Elastic Security Labs, o ator REF3927 utiliza essas chaves para comprometer servidores globalmente, com maior concentração na Índia e nos EUA, conforme apontado pela HarfangLab.
As ações incluem o uso inicial do acesso para implantar o web shell Godzilla, executar a ferramenta remota GotoHTTP, roubar credenciais com Mimikatz e instalar um rootkit modificado, HIDDENDRIVER, para ocultar malwares no sistema infectado.
Esse grupo soma-se a uma longa lista de atores chineses, como GhostRedirector, Operation Rewrite e UAT-8099, que têm como alvo servidores IIS, indicando um aumento desse tipo de ataque.
Apesar de utilizarem principalmente a língua chinesa e explorarem comprometimentos para campanhas de SEO, o módulo implantado oferece um canal persistente e sem autenticação, permitindo que qualquer pessoa execute comandos remotamente nos servidores afetados, alertam os especialistas franceses.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...