Pesquisadores de cibersegurança divulgaram detalhes de uma nova campanha de espionagem alinhada à China, voltada contra os setores governamental e de defesa em países do Sul, Leste e Sudeste da Ásia, além de um governo europeu integrante da OTAN.
A Trend Micro atribuiu a atividade a um cluster de ameaças que acompanha sob a designação temporária SHADOW-EARTH-053.
Segundo a empresa, esse coletivo adversário estaria ativo pelo menos desde dezembro de 2024 e compartilha certo grau de sobreposição de rede com CL-STA-0049, Earth Alux e REF7707.
“O grupo explora vulnerabilidades N-day em servidores Microsoft Exchange e Internet Information Services (IIS) expostos à internet, como a cadeia ProxyLogon, e então implanta web shells, como Godzilla, para manter acesso persistente e posiciona implantes ShadowPad via DLL sideloading em executáveis legítimos e assinados”, disseram os pesquisadores Daniel Lunghi e Lucas Silva em uma análise.
Entre os alvos da campanha estão Paquistão, Tailândia, Malásia, Índia, Mianmar, Sri Lanka e Taiwan.
O único país europeu que aparece no histórico de vítimas do threat actor é a Polônia.
A fornecedora de cibersegurança afirmou ter observado que quase metade dos alvos do SHADOW-EARTH-053, especialmente os localizados na Malásia, no Sri Lanka e em Mianmar, também havia sido comprometida anteriormente por um conjunto de intrusões relacionado, apelidado SHADOW-EARTH-054.
Ainda assim, não há evidência de coordenação operacional direta entre os dois grupos.
O ponto de partida dos ataques é a exploração de falhas de segurança já conhecidas para invadir sistemas sem patch e instalar web shells, como o Godzilla, a fim de viabilizar acesso remoto persistente.
Essas web shells funcionam como um veículo de entrega para execução de comandos, permitindo reconhecimento e, por fim, resultando na implantação do backdoor ShadowPad por meio do AnyDesk.
O malware é executado com DLL side-loading.
Em pelo menos um caso, a exploração do React2Shell (
CVE-2025-55182
) teria facilitado a distribuição de uma versão para Linux do Noodle RAT, também conhecido como ANGRYREBEL e Nood RAT.
Vale destacar que o Google Threat Intelligence Group (GTIG) associou essa cadeia de ataque a um grupo identificado como UNC6595.
Também foram usadas ferramentas de tunelamento open source como IOX, GO Simple Tunnel (GOST) e Wstunnel, além do RingQ, para empacotar binários maliciosos e driblar a detecção.
Para facilitar a escalada de privilégios, o SHADOW-EARTH-053 foi visto usando o Mimikatz, enquanto o movimento lateral era feito com um iniciador personalizado de protocolo de área de trabalho remota (RDP) e uma implementação em C# do SMBExec, conhecida como Sharp-SMBExec.
“O principal vetor de entrada usado nesta campanha foram vulnerabilidades em aplicações IIS expostas à internet”, disse a Trend Micro.
“As organizações devem priorizar a aplicação das atualizações de segurança mais recentes e dos patch cumulativos para o Microsoft Exchange e para quaisquer aplicações web hospedadas no IIS.”
“Em cenários em que o patch imediato não seja viável, recomendamos fortemente a implementação de Sistemas de Prevenção de Intrusão (IPS) ou de Firewall de Aplicação Web (WAF) com conjuntos de regras ajustados especificamente para bloquear tentativas de exploit contra esses CVEs conhecidos, por meio de virtual patching.”
**GLITTER CARP e SEQUIN CARP miram ativistas e jornalistas**
A divulgação ocorre no momento em que o Citizen Lab apontou uma nova campanha de phishing conduzida por dois threat actors distintos ligados à China, com alvos e perfis de impostura que incluem jornalistas e organizações da sociedade civil, entre eles ativistas da diáspora uigur, tibetana, taiwanesa e de Hong Kong.
As campanhas foram detectadas inicialmente em abril e junho de 2025, respectivamente.
Os clusters receberam os codinomes GLITTER CARP, que mirou o Consórcio Internacional de Jornalistas Investigativos (ICIJ), e SEQUIN CARP, cujo principal alvo foi a jornalista do ICIJ Scilla Alecci e outros jornalistas internacionais que escrevem sobre temas de alto interesse para o governo chinês.
“O ator usa esquemas bem elaborados de personificação digital em e-mails de phishing, incluindo a simulação de pessoas conhecidas e alertas de segurança de empresas de tecnologia”, disse o Citizen Lab.
“Embora os grupos alvos variem, essa atividade utiliza a mesma infraestrutura e as mesmas táticas em todos os casos, reutilizando frequentemente os mesmos domínios e as mesmas pessoas personificadas em vários alvos.”
Além de conduzir ataques amplos de phishing, o GLITTER CARP também foi associado a campanhas contra a indústria de semicondutores de Taiwan.
Parte desses esforços já havia sido documentada pela Proofpoint em julho de 2025 sob o nome UNK_SparkyCarp.
Já o SEQUIN CARP apresenta semelhanças com um grupo acompanhado pela Volexity como UTA0388 e com um conjunto de intrusões detalhado pela Trend Micro como TAOTH.
O objetivo final das campanhas é obter acesso inicial a contas baseadas em e-mail por meio da coleta de credenciais, páginas de phishing ou da engenharia social para levar a vítima a conceder acesso a um token OAuth de terceiros.
Os e-mails de phishing do GLITTER CARP também usam pixels de rastreamento 1x1 que apontam para uma URL no domínio do atacante, com o objetivo de coletar informações sobre o dispositivo e confirmar se a mensagem foi aberta pelos destinatários.
O Citizen Lab afirmou ter “observado a mira simultânea de organizações específicas usando tanto o kit de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) quanto a entrega do HealthKick por meio de táticas de phishing diferentes por um grupo separado (UNK_DropPitch)”.
Isso indica algum nível de sobreposição entre esses grupos, acrescentou a entidade, embora a natureza exata da relação continue desconhecida.
“A análise dos ataques do GLITTER CARP e do SEQUIN CARP mostra que a repressão transnacional digital opera cada vez mais por meio de uma rede distribuída de atores”, afirmou a unidade de pesquisa.
“Os alvos identificados em GLITTER CARP e SEQUIN CARP estão alinhados com as prioridades de inteligência do governo chinês.”
“A amplitude dos alvos documentados neste relatório e por outros, combinada com as informações disponíveis sobre o uso passado e atual de contratados pela China, que espelha a atividade observada, sugere com nível médio de confiança que entidades comerciais contratadas pelo Estado chinês podem estar por trás dos dois clusters de atividade descritos aqui.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...