Hackers associados ao Ministério de Segurança do Estado da China (MSS) foram ligados a ataques em 17 países diferentes na Ásia, Europa e América do Norte de 2021 a 2023.
A empresa de segurança cibernética Recorded Future atribuiu o conjunto de intrusões a um grupo de estado-nação que ela acompanha sob o nome de RedHotel (anteriormente Threat Activity Group-22 ou TAG-22), que se sobrepõe a um conjunto de atividades amplamente monitorado como Aquatic Panda, Bronze University, Charcoal Typhoon, Earth Lusca e Red Scylla (ou Red Dev 10).
Ativo desde 2019, alguns dos setores proeminentes alvo do ator prolífico incluem academia, aeroespacial, governo, mídia, telecomunicações e pesquisa.
A maioria das vítimas durante o período eram organizações governamentais.
"O RedHotel tem uma missão dupla de coleta de inteligência e espionagem econômica", disse a empresa de segurança cibernética, destacando sua persistência, intensidade operacional e alcance global.
"Ele visa tanto entidades governamentais para inteligência tradicional quanto organizações envolvidas na pesquisa e tecnologia de desenvolvimento da COVID-19."
A Trend Micro, no início de janeiro de 2022, descreveu o adversário como um "ator de ameaça altamente habilidoso e perigoso principalmente motivado por ciberespionagem e ganho financeiro."
Desde então, o grupo foi ligado à exploração de falhas do Log4Shell, bem como a ataques direcionados a telecomunicações, academias, pesquisa e desenvolvimento e organizações governamentais no Nepal, Filipinas, Taiwan e Hong Kong para implantar backdoors para acesso a longo prazo.
As cadeias de ataque montadas pelo RedHotel armaram aplicações voltadas ao público para acesso inicial, seguido pelo emprego de uma combinação de ferramentas de segurança ofensivas como Cobalt Strike e Brute Ratel C4 (BRc4) e famílias de malware personalizadas como FunnySwitch, ShadowPad, Spyder e Winnti.
Um aspecto notável do modo de operação do ator é o uso de uma infraestrutura de vários níveis, cada uma focando no reconhecimento inicial e acesso a rede de longo prazo através de servidores de comando e controle.
Ele utiliza predominantemente o NameCheap para o registro de domínio.
Em uma campanha no final de 2022, RedHotel teria aproveitado um certificado de assinatura de código roubado pertencente a uma empresa de jogos de Taiwan para assinar um arquivo DLL responsável pelo carregamento do BRc4.
O toolkit pós-exploração, por sua vez, é configurado para se comunicar com a infraestrutura governamental vietnamita comprometida.
"RedHotel exemplificou um alcance e uma escala incansáveis de uma atividade mais ampla de ciberespionagem patrocinada pelo estado PRC mantendo um alto ritmo operacional e visando organizações do setor público e privado globalmente", disse a Recorded Future.
Esse desenvolvimento vem depois que o Washington Post relatou que hackers chineses tinham "acesso profundo e persistente" a redes de defesa classificadas no Japão, levando a Agência de Segurança Nacional dos EUA (NSA), que descobriu a violação no final de 2020, a reportar pessoalmente o assunto às autoridades governamentais.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...