Hackers usam portal da polícia do Baluchistão em campanhas de espionagem com múltiplos grupos
13 de Julho de 2026

Pesquisadores de cibersegurança revelaram detalhes de uma campanha contínua de ciberespionagem contra várias organizações de segurança pública do Paquistão, conduzida por suspeitos threat actors alinhados à China e à Índia entre fevereiro de 2024 e abril de 2026.

“Na Polícia do Balochistão, os ativos comprometidos incluíam servidores que hospedavam aplicações web usadas para gerenciar dados da polícia e de cidadãos, como registros criminais e biométricos”, afirmou Aleksandar Milenkoski, pesquisador principal de ameaças da SentinelOne SentinelLABS, em um relatório publicado nesta semana.

A atividade mirou equipamentos de rede e servidores com aplicações web que administram registros biométricos, cadastros de hotéis e inquilinos vinculados a registros de identidade nacional, arquivos de processos criminais e registros de pessoal.

Segundo a apuração, o threat actor com vínculo à China também comprometeu uma dessas aplicações web para implantar um componente personalizado disfarçado de atualização do portal.

A aplicação em questão, chamada Complaint Management System (CMS), atende tanto funcionários da polícia quanto cidadãos, ampliando o alcance do invasor sobre os dois grupos.

A SentinelOne informou ter detectado infraestrutura comprometida associada a outras organizações de segurança pública paquistanesas, incluindo a Polícia de Khyber Pakhtunkhwa, a Polícia de Islamabad e a Autoridade de Cidades Seguras do Punjab (PSCA).

Quatro clusters distintos de ameaça foram identificados, cada um com uma família diferente de malware: PlugX, ShadowPad, Cobalt Strike e Remcos RAT.

O uso do Remcos RAT foi associado a um threat actor com vínculo à Índia, enquanto os clusters ligados ao PlugX, ShadowPad e Cobalt Strike se baseiam em ferramentas compartilhadas ou amplamente disponíveis e podem envolver mais de um operador.

Ainda assim, a presença de PlugX e ShadowPad, sendo o segundo considerado sucessor do primeiro, é tradicionalmente associada a grupos de hackers ligados ao Estado chinês.

“A victimologia que observamos para PlugX, entre 27 de fevereiro e 28 de setembro de 2024, e para ShadowPad, entre 3 de agosto e 1º de dezembro de 2024, reforça essa avaliação”, disse a empresa de cibersegurança.

“Além da segurança pública paquistanesa, a victimologia de PlugX e ShadowPad inclui entidades governamentais, de relações exteriores, defesa, organizações não governamentais e instituições de pesquisa na Ásia do Sul, Sudeste, Central e Oriental, na Península Arábica e no Sudeste da Europa, em linha com uma coleta alinhada à China.”

O conjunto de intrusões associado ao Remcos é avaliado como compartilhando infraestrutura e semelhanças táticas com um grupo conhecido como Mysterious Elephant, também identificado como APT-C-08, APT-K-47 e TAG-179, que, por sua vez, apresenta pontos em comum com adversários ligados à Índia, como SideWinder, Confucius e Bitter.

As cadeias de ataque foram configuradas para usar iscas relacionadas à segurança pública paquistanesa, exibindo um documento disfarçado que supostamente continha um plano operacional para a repatriação de estrangeiros em situação irregular, incluindo portadores do Afghan Citizen Card (ACC).

A relação do cluster ligado ao Cobalt Strike com threat actors alinhados à China se baseia no fato de que o tráfego para o servidor de command and control (C2) controlado pelo invasor, “142.171.183[.]8”, vai além da segurança pública paquistanesa e atinge entidades governamentais, acadêmicas, de telecomunicações e não governamentais na Ásia do Sul, Leste e Sudeste Asiático, no Oriente Médio e na América do Sul, um perfil de victimologia consistente com hackers alinhados à China.

Entre os alvos estão organizações budistas tibetanas em Taiwan, que há muito tempo são visadas pela China em operações de ciberespionagem.

Uma análise mais aprofundada da atividade contra a Polícia do Balochistão revelou o comprometimento dos seguintes ativos entre 2 de junho de 2024 e 9 de abril de 2026:

- Dois equipamentos de rede
- Servidores web que hospedavam várias aplicações da Polícia do Balochistão associadas à iniciativa de digitalização Smart Police Station
- Um equipamento Fortinet FortiMail que atuava como principal gateway de entrada de e-mails da agência

Uma das aplicações infectadas é o Complaint Management System (“cms.balochistanpolice.gov[.]pk”), usado para registrar, acompanhar e resolver reclamações de cidadãos.

Duas variantes distintas de um componente chamado “cms_plugin.exe” foram enviadas ao site no contexto da operação:

- Um estágio em Rust projetado para baixar um payload adicional de “193.42.25[.]65” e executá-lo.

A natureza exata da etapa seguinte é desconhecida, mas as amostras exibem a mensagem “Update Complete! Please refresh the page” após a execução, simulando uma atualização do portal CMS.
- Um executável em .NET que se passa por “360Safe.exe”, um binário legítimo usado pelo Qihoo 360 Total Security, para carregar de forma refletida um assembly que implementa um cliente AsyncRAT.

A atividade chama atenção porque atraiu, ao mesmo tempo, um “parceiro e um adversário do Paquistão” para o mesmo alvo em busca de inteligência, provavelmente impulsionados por motivações geopolíticas.

“Quando múltiplos atores de ciberespionagem operam contra instituições de segurança pública de um único Estado, essa convergência em si já é um sinal do valor do alvo”, explicou Milenkoski.

“O que os atrai é um tipo específico de instituição: aquela que concentra o retrato da segurança interna do governo, o que ele sabe sobre as ameaças dentro de suas fronteiras e como age contra elas.”

“O comprometimento da aplicação web Complaint Management System acrescenta uma segunda dimensão à atividade contra a Polícia do Balochistão, ampliando o alcance do threat actor para além do ambiente inicialmente comprometido.

Ao hospedar componentes em um portal usado tanto por cidadãos quanto por agentes da lei, o threat actor transformou uma ferramenta criada para tornar o policiamento no Paquistão mais acessível e transparente em um mecanismo de distribuição de malware.”

Publicidade

Anuncie no CaveiraTech e coloque sua marca na frente de milhares de profissionais de cybersecurity

Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...