Fornecedores de telecomunicações no Oriente Médio são o alvo de novos ataques cibernéticos que começaram no primeiro trimestre de 2023.
O conjunto de invasões foi atribuído a um ator de espionagem cibernética chinês associado a uma campanha em andamento chamada Operação Soft Cell, com base em sobreposições de ferramentas.
"A fase inicial do ataque envolve a infiltração de servidores Microsoft Exchange voltados para a Internet para implantar shells da web usados para execução de comandos", disseram pesquisadores da SentinelOne e QGroup em um novo relatório técnico compartilhado com o The Hacker News.
"Uma vez estabelecida uma base, os atacantes realizam uma variedade de atividades de reconhecimento, roubo de credenciais, movimento lateral e exfiltração de dados".
A Operação Soft Cell refere-se a atividades maliciosas realizadas por atores afiliados à China visando provedores de telecomunicações desde pelo menos 2012.
O ator Soft Cell, também rastreado pela Microsoft como Gallium, é conhecido por visar serviços voltados para a Internet sem correção e usar ferramentas como Mimikatz para obter credenciais que permitem movimento lateral nas redes visadas.
Também usado pelo coletivo adversário é uma porta dos fundos "difícil de detectar", codinome PingPull, em seus ataques de espionagem direcionados a empresas que operam no Sudeste Asiático, Europa, África e Oriente Médio.
Central para a última campanha é a implantação de uma variante personalizada do Mimikatz referida como mim221, que embala novos recursos anti-detecção.
"O uso de módulos de propósito especial que implementam uma série de técnicas avançadas mostra a dedicação dos atores de ameaça em avançar seu conjunto de ferramentas em direção ao máximo sigilo", disseram os pesquisadores, acrescentando que isso "destaca a manutenção contínua e o desenvolvimento adicional do arsenal de malware de espionagem chinês".
Pesquisas anteriores sobre Gallium sugerem semelhanças táticas com vários grupos estatais chineses, como APT10 (também conhecido como Bronze Riverside, Potassium ou Stone Panda), APT27 (também conhecido como Bronze Union, Emissary Panda ou Lucky Mouse) e APT41 (também conhecido como Barium, Bronze Atlas ou Wicked Panda).
Isso aponta novamente para sinais de compartilhamento de ferramentas de origem fechada entre atores de ameaças patrocinados pelo estado chinês, sem mencionar a possibilidade de um "quartel-mestre digital" responsável por manter e distribuir o conjunto de ferramentas.
As descobertas vêm à tona em meio a revelações de que vários outros grupos de hackers, incluindo BackdoorDiplomacy e WIP26, têm seus olhos voltados para provedores de serviços de telecomunicações na região do Oriente Médio.
"Os atores de ameaças de espionagem cibernética chineses são conhecidos por terem um interesse estratégico no Oriente Médio", concluíram os pesquisadores.
"Esses atores de ameaças certamente continuarão explorando e atualizando suas ferramentas com novas técnicas para evadir a detecção, incluindo a integração e modificação de código disponível publicamente".
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...