Matéria traduzida e adaptada do inglês, originalmente publicada pela matriz americana do Epoch Times.
Um novo ator de ameaças cibernéticas, suspeito de ter laços com a China, tem direcionado suas atividades para organizações militares e governamentais em países do Mar do Sul da China desde 2018, de acordo com a empresa de segurança cibernética romena Bitdefender.
Pesquisadores da Bitdefender nomearam o ator de ameaças de “Unfading Sea Haze” e observaram que suas operações estão alinhadas com os interesses geopolíticos da China, com os ataques focando em espionagem, de acordo com um relatório publicado em 22 de maio.
“Os alvos e a natureza dos ataques sugerem alinhamento com os interesses chineses”, diz o relatório.
O grupo havia criado “um arsenal sofisticado de malware e ferramentas personalizadas”, afirmaram os pesquisadores, observando que uma de suas técnicas foi encontrada para se sobrepor com a de um grupo de espionagem bem conhecido apoiado pela China, APT41.
“Nenhuma outra sobreposição com as ferramentas conhecidas do APT41 foi identificada. Essa única semelhança poderia ser outra indicação de práticas de codificação compartilhadas dentro da cena de ameaças cibernéticas chinesas”, diz o relatório.
APT41 é um dos muitos APTs chineses conhecidos que realizaram atividades cibernéticas maliciosas visando instituições, empresas e governos ocidentais. Outros incluíram APT10 e APT40. Atualmente, cinco cidadãos chineses do APT41 estão na lista de procurados do FBI; eles foram acusados em 2020 por crimes relacionados a campanhas de hacking para roubar segredos comerciais e informações sensíveis de mais de 100 empresas e entidades em todo o mundo.
O Unfading Sea Haze tem como alvo pelo menos oito vítimas, incluindo principalmente alvos militares e governamentais desde 2018, afirma o relatório, e ele “repetidamente recuperou o acesso aos sistemas comprometidos”.
Um método que o grupo usou para infiltrar sistemas-alvo é enviando e-mails de spear-phishing com arquivos ZIP maliciosos.
“Esses arquivos continham arquivos LNK disfarçados de documentos regulares. Quando clicados, esses arquivos LNK executariam comandos maliciosos”, diz o relatório.
Alguns dos nomes dos arquivos ZIP incluíram “Dados”, “Documento” e “Startechup_fINAL”, de acordo com o relatório.
Os atacantes do grupo de ameaças começaram a usar novos nomes de arquivos ZIP em março de 2024, incluindo “Assange_Rotulado_como_‘Inimigo’_dos_EUA_em_Documentos_Secretos_do_Pentágono102” e “Presidência de Barack Obama”. Outros ZIPs foram nomeados de forma enganosa como instaladores, atualizadores e documentos do Windows Defender da Microsoft.
Após obter acesso aos sistemas-alvo, o Unfading Sea Haze usou “uma combinação de ferramentas personalizadas e prontas para uso” para coletar dados.
Uma ferramenta personalizada é um keylogger chamado “xkeylog” para capturar pressionamentos de tecla em máquinas das vítimas. Outra ferramenta personalizada é um selador de dados do navegador para visar dados armazenados no Google Chrome, Firefox, Microsoft Edge ou Internet Explorer.
Uma terceira ferramenta personalizada permitiu que o Unfading Sea Haze monitorasse a presença de dispositivos portáteis em sistemas comprometidos.
“A ferramenta verifica dispositivos portáteis a cada 10 segundos. Se um dispositivo WPD ou USB estiver montado, ele coleta detalhes sobre o dispositivo e os envia usando uma solicitação GET HTTP para um servidor controlado pelo atacante”, explica o relatório.
O Unfading Sea Haze também coletou dados de aplicativos de mensagens, incluindo Telegram e Viber, de acordo com o relatório. O grupo também usou a ferramenta de compressão RAR para coletar dados manualmente.
“Essa combinação de ferramentas personalizadas e prontas para uso, juntamente com a extração manual de dados, descreve uma campanha de espionagem direcionada focada em adquirir informações sensíveis de sistemas comprometidos”, diz o relatório.
O grupo de ameaças passou despercebido por mais de cinco anos, um fenômeno que o relatório disse ser “particularmente preocupante”, e os atacantes demonstraram “uma abordagem sofisticada para ciberataques”.
Os pesquisadores disseram que divulgaram suas descobertas sobre o Unfading Sea Haze porque “querem ajudar a comunidade de segurança com o conhecimento para detectar e interromper seus esforços de espionagem”.
O relatório terminou com algumas recomendações sobre como mitigar os riscos representados pelo Unfading Sea Haze e outros atores de ameaças semelhantes. Priorizar o gerenciamento de patches, aplicar políticas de senha fortes, monitorar o tráfego de rede e colaborar com a comunidade de segurança cibernética estão entre as dicas oferecidas pelos pesquisadores da Bitdefender.
A China está atualmente em disputas territoriais com Brunei, Malásia, Filipinas, Vietnã e Taiwan sobre recifes, ilhas e atóis no Mar do Sul da China. Uma decisão internacional de 2016 rejeitou a reivindicação da “linha de nove traços” de Pequim sobre cerca de 85 por cento dos 2,2 milhões de milhas quadradas do Mar do Sul da China.
Em fevereiro, as Filipinas anunciaram que hackers baseados na China tentaram sem sucesso invadir os sites do país e os sistemas de e-mail do presidente e de órgãos governamentais.
