Um grupo avançado de ameaças persistentes (APT) ligado à China vem atacando a infraestrutura crítica de telecomunicações na América do Sul desde 2024.
O alvo inclui sistemas Windows, Linux e dispositivos de borda, utilizando três implantes distintos.
A atividade é monitorada pela Cisco Talos, que a identificou como UAT-9244 e classificou como fortemente relacionada a outro grupo conhecido como FamousSparrow.
Este, por sua vez, adota táticas semelhantes às do Salt Typhoon, coletivo de espionagem chinês conhecido por atacar provedores de serviços de telecomunicações.
Embora UAT-9244 e Salt Typhoon atuem em áreas sobrepostas, não há evidências concretas de que sejam o mesmo grupo.
Na campanha observada, foram identificados três implantes inéditos: TernDoor, direcionado a Windows; PeerTime (também chamado angrypeer), para sistemas Linux; e BruteEntry, instalado em dispositivos de borda na rede.
A forma exata do acesso inicial ainda não foi confirmada, mas sabe-se que os invasores costumam explorar sistemas com versões desatualizadas do Windows Server e do Microsoft Exchange Server para instalar web shells e ampliar o controle das máquinas.
O TernDoor opera via DLL side-loading, usando o executável legítimo "wsprint.exe" para carregar uma DLL maliciosa chamada "BugSplatRc64.dll".
Essa DLL descriptografa e executa o payload final diretamente na memória.
Trata-se de uma variante do CrowDoor (derivado do SparrowDoor) e está em uso pelo UAT-9244 desde pelo menos novembro de 2024.
Para garantir persistência, o malware cria tarefas agendadas ou altera chaves no Registry Run.
Diferente do CrowDoor, ele usa um conjunto distinto de comandos e incorpora um driver do Windows que permite suspender, retomar e encerrar processos.
Além disso, possui uma única opção de linha de comando (-u) para desinstalação e limpeza dos artefatos deixados no sistema.
Após a execução, o TernDoor verifica se está injetado no processo "msiexec.exe" e em seguida decodifica uma configuração para obter os parâmetros do servidor de comando e controle (C2).
Nesta fase, estabelece comunicação com o C2 e passa a executar processos, comandos arbitrários, ler e gravar arquivos, coletar informações do sistema e usar o driver para ocultar componentes maliciosos e gerenciar processos.
Na infraestrutura do UAT-9244, a Cisco Talos também identificou um backdoor Linux do tipo peer-to-peer (P2P) chamado PeerTime.
Ele é compilado para múltiplas arquiteturas (ARM, AARCH, PPC e MIPS), visando infectar uma ampla gama de sistemas embarcados.
O malware e um binário auxiliar denominado "instrumentor" são instalados via script shell.
Segundo os pesquisadores Asheer Malhotra e Brandon White, o binário "instrumentor" verifica a presença do Docker no sistema comprometido por meio dos comandos docker e docker -q.
Caso o Docker seja detectado, o carregador do PeerTime é executado.
O "instrumentor" contém strings de depuração em chinês simplificado, indicando autoria por atores de ameaça chineses.
O principal objetivo desse loader é descriptografar e descomprimir o payload do PeerTime para executá-lo diretamente na memória.
O backdoor existe em duas versões: uma escrita em C/C++ e outra, mais recente, desenvolvida em Rust.
Para evitar detecção, ele pode renomear-se como um processo legítimo.
Além disso, utiliza o protocolo BitTorrent para obter informações do C2, baixar arquivos dos peers e executá-los.
Nos servidores do grupo também foram encontrados scripts shell e payloads adicionais, incluindo um scanner de força bruta chamado BruteEntry, instalado em dispositivos de borda para transformá-los em nós proxy que realizam varreduras em massa.
Esses dispositivos operam como parte de um sistema denominado Operational Relay Box (ORB), que executa ataques de força bruta contra servidores Postgres, SSH e Tomcat.
O BruteEntry é implantado por script que instala dois componentes desenvolvidos em Golang: um orquestrador responsável pela distribuição do BruteEntry, que, por sua vez, consulta o servidor C2 para obter listas de IPs alvo das tentativas de força bruta.
O backdoor reporta ao C2 os logins bem-sucedidos.
Segundo a Talos, o sistema comunica os resultados das tentativas por meio das indicações “success” (verdadeiro ou falso) e “notes”, que detalham o resultado, como “All credentials tried” caso todas as credenciais tenham falhado.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...