29/05/2026
💠💻🌐 Hackers ligados à China têm como alvo governos asiáticos, países da OTAN, jornalistas e ativistas.
Por: In BoT_SeC
Pesquisadores de segurança cibernética divulgaram detalhes de uma nova campanha de espionagem alinhada à China, que tem como alvo os setores governamentais e de defesa no Sul, Leste e Sudeste Asiático, além de um governo europeu membro da OTAN.
A Trend Micro atribuiu a atividade a um cluster de ameaças que monitora sob a designação temporária SHADOW-EARTH-053 .
Estima-se que o grupo adversário esteja ativo desde pelo menos dezembro de 2024, compartilhando algum nível de sobreposição de rede com CL-STA-0049, Earth Alux e REF7707 .
"O grupo explora vulnerabilidades do tipo N-day em servidores Microsoft Exchange e Internet Information Services (IIS) expostos à internet (por exemplo, a cadeia ProxyLogon ), depois implanta web shells ( Godzilla ) para acesso persistente e instala o ShadowPad por meio de sideloading de DLLs em executáveis legítimos e assinados", afirmaram os pesquisadores de segurança Daniel Lunghi e Lucas Silva em uma análise.
Os alvos das campanhas incluem Paquistão, Tailândia, Malásia, Índia, Myanmar,
Sri Lanka e Taiwan. O único país europeu que figura na lista de vítimas do grupo de ameaças é a Polônia.
A empresa de cibersegurança afirmou ter observado que quase metade dos alvos do SHADOW-EARTH-053, particularmente aqueles na Malásia, Sri Lanka e Myanmar, também foram comprometidos anteriormente por um conjunto de intrusões relacionado, denominado SHADOW-EARTH-054, embora nenhuma evidência de coordenação operacional direta tenha sido observada.
O ponto de partida dos ataques é a exploração de falhas de segurança conhecidas para invadir sistemas sem patches e instalar web shells, como o Godzilla, para facilitar o acesso remoto persistente.
Os web shells funcionam como um veículo de entrega para execução de comandos, permitindo o reconhecimento e, por fim, resultando na implantação do backdoor ShadowPad via AnyDesk.
O malware é lançado usando o carregamento lateral de DLLs.
Em pelo menos um caso, a utilização da vulnerabilidade React2Shell (CVE-2025-55182) como arma teria facilitado a distribuição de uma versão Linux do Noodle RAT (também conhecido como ANGRYREBEL e Nood RAT).
Vale mencionar que o Google Threat Intelligence Group (GTIG) associou essa cadeia de ataques a um grupo conhecido como UNC6595.
Também são utilizadas ferramentas de tunelamento de código aberto como IOX, GO Simple Tunnel (GOST) e Wstunnel, bem como RingQ , para empacotar binários maliciosos e evitar a detecção.
Para facilitar a escalação de privilégios, descobriu-se que o SHADOW-EARTH-053 utiliza o Mimikatz, enquanto a movimentação lateral é realizada por meio de um iniciador de protocolo de área de trabalho remota (RDP) personalizado e uma implementação em C # do SMBExec conhecida como Sharp-SMBExec .
"O principal vetor de entrada usado nesta campanha foram vulnerabilidades em aplicativos IIS voltados para a internet", disse a Trend Micro.
"As organizações devem priorizar a aplicação das atualizações de segurança e patches cumulativos mais recentes ao Microsoft Exchange e a quaisquer aplicativos da Web hospedados no IIS."
"Em cenários onde a aplicação imediata de patches não é viável, recomendamos fortemente a implementação de Sistemas de Prevenção de Intrusões (IPS) ou Firewalls de Aplicações Web (WAF) com conjuntos de regras especif**amente ajustados para bloquear tentativas de exploração contra essas CVEs conhecidas (aplicação de patches virtuais)."
Carpas com glitter e carpas com lantejoulas atacam ativistas e jornalistas.
A divulgação ocorre no momento em que o Citizen Lab alertou para uma nova campanha de phishing realizada por dois grupos de ameaças distintos, ligados à China, que visavam e se faziam passar por jornalistas e membros da sociedade civil, incluindo ativistas das diásporas uigur, tibetana, taiwanesa e de Hong Kong.
As campanhas de amplo alcance foram detectadas pela primeira vez em abril e junho de 2025, respectivamente.
Os grupos receberam os codinomes GLITTER CARP , que tinha como alvo o Consórcio Internacional de Jornalistas Investigativos (ICIJ), e SEQUIN CARP , cujo principal alvo era a jornalista do ICIJ, Scilla Alecci, e outros jornalistas internacionais que escreviam sobre temas de interesse crítico para o governo chinês.
"O agente utiliza esquemas de personif**ação digital bem elaborados em e-mails de phishing, incluindo a personif**ação de indivíduos conhecidos e alertas de segurança de empresas de tecnologia", afirmou o Citizen Lab .
"Embora os grupos visados variem, essa atividade emprega a mesma infraestrutura e as mesmas táticas em todos os casos, frequentemente reutilizando os mesmos domínios e os mesmos indivíduos personif**ados em múltiplos alvos."
O grupo GLITTER CARP, além de realizar ataques de phishing em larga escala, foi associado a campanhas de phishing direcionadas à indústria de semicondutores de Taiwan.
Alguns aspectos dessas ações foram documentados anteriormente pela Proofpoint em julho de 2025 sob o nome UNK_SparkyCarp. Já o grupo SEQUIN CARP (também conhecido como UNK_DualTone) apresenta semelhanças com um grupo rastreado pela Volexity como UTA0388 e com um conjunto de intrusões detalhado pela Trend Micro como TAOTH.
O objetivo final das campanhas é obter acesso inicial a contas de e-mail por meio de coleta de credenciais, páginas de phishing ou engenharia social para induzir o alvo a conceder acesso a um token OAuth de terceiros.
Os e-mails de phishing da GLITTER CARP também envolvem o uso de pixels de rastreamento 1x1 que apontam para um URL no domínio do atacante para coletar informações do dispositivo e confirmar se os destinatários abriram os e-mails.
O Citizen Lab afirmou ter "observado ataques simultâneos a organizações específ**as usando tanto o kit de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) quanto a distribuição do HealthKick por meio de táticas de phishing diferentes, realizadas por um grupo separado (UNK_DropPitch)".
Isso indica algum nível de sobreposição entre esses grupos, acrescentou, embora a natureza precisa dessa relação permaneça desconhecida.
"Nossa análise dos ataques GLITTER CARP e SEQUIN CARP mostra que a repressão digital transnacional opera cada vez mais por meio de uma rede distribuída de atores", afirmou a unidade de pesquisa.
"Os alvos que identif**amos tanto no GLITTER CARP quanto no SEQUIN CARP estão alinhados com as prioridades de inteligência do governo chinês."
"A abrangência dos alvos documentada neste relatório e por outros, combinada com as informações disponíveis sobre o uso passado e atual de contratados pela China, que espelha a atividade que observamos, sugere, com um nível médio de confiança, que entidades comerciais contratadas pelo Estado chinês podem ter estado por trás de ambos os grupos de atividades descritos aqui."
Ao ser contatado para comentar, Mark Kelly, pesquisador de ameaças da Proofpoint, disse ao The Hacker News por e-mail que tanto o UNK_SparkyCarp quanto o UNK_DualTone realizaram atividades de phishing focadas em identidade contra uma variedade de alvos, caracterizando o direcionamento a membros da sociedade civil como provavelmente uma "característica de longa data desses grupos" em vez de uma mudança recente.
"Observamos o grupo UNK_SparkyCarp (GLITTER CARP) realizando atividades de phishing de credenciais contra alvos dos setores acadêmico, político, de semicondutores e jurídico nos Estados Unidos, Europa e Taiwan", acrescentou Kelly.
"Não observamos o grupo visando especif**amente a sociedade civil."
"No entanto, é muito provável que isso seja resultado da nossa visibilidade, e concordamos com a atribuição feita no relatório do Citizen Lab.
Entendemos que o grupo tem atuado intensamente contra grupos da sociedade civil de interesse do governo chinês há algum tempo, o que é corroborado por domínios que se fazem passar por grupos de oposição, como o Falun Gong, e que datam de vários anos atrás."
A Proofpoint também observou que detectou o grupo UNK_DualTone visando vários jornalistas baseados nos EUA em maio de 2025, e que a atividade está intimamente ligada a uma campanha que utiliza iscas relacionadas a protestos planejados por ocasião do desfile do 250º aniversário do Exército dos EUA.
Fonte: https://www.facebook.com/share/p/1bxhGpt5EU/
