Grupos de espionagem cibernética associados à China têm sido associados a uma campanha de longa duração que se infiltrou em vários operadores de telecomunicações localizados num único país asiático, pelo menos desde 2021.
“Os invasores colocaram backdoors nas redes das empresas visadas e também tentaram roubar credenciais”, disse a equipe Symantec Risk Hunter, parte da Broadcom, em um relatório compartilhado com o The Hacker Information.
A empresa de segurança cibernética não revelou o país visado, mas disse que encontrou evidências que sugerem que a atividade cibernética maliciosa pode ter começado já em 2020.
Os ataques também tiveram como alvo uma empresa de serviços não identificada que atendia ao setor de telecomunicações e uma universidade em outro país asiático, acrescentou.
A escolha das ferramentas utilizadas nesta campanha se sobrepõe a outras missões conduzidas por grupos de espionagem chineses como Mustang Panda (também conhecido como Earth Preta e Fireant), RedFoxtrot (também conhecido como Neeedleminer e Nomad Panda) e Naikon (também conhecido como Firefly) nos últimos anos.
Isso inclui backdoors personalizados rastreados como COOLCLIENT, QUICKHEAL e RainyDay que vêm equipados com recursos para capturar dados confidenciais e estabelecer comunicação com um servidor de comando e controle (C2).
Embora o caminho exato de acesso inicial usado para violar os alvos seja atualmente desconhecido, a campanha também é notável por implantar ferramentas de varredura de portas e conduzir roubo de credenciais por meio do despejo de seções do Registro do Home windows.
O facto de as ferramentas terem ligações a três colectivos adversários diferentes levantou várias possibilidades: os ataques estão a ser conduzidos independentemente uns dos outros, um único actor da ameaça está a utilizar ferramentas adquiridas de outros grupos, ou diversos actores estão a colaborar numa única campanha.
Também não está claro nesta fase o motivo principal por detrás das intrusões, embora os actores de ameaças chineses tenham um historial de visar o sector das telecomunicações em todo o mundo.
Em novembro de 2023, a Kaspersky revelou uma campanha de malware ShadowPad visando uma das empresas nacionais de telecomunicações do Paquistão, explorando falhas de segurança conhecidas no Microsoft Alternate Server (CVE-2021-26855, também conhecido como ProxyLogon).
“Os invasores podem estar coletando informações sobre o setor de telecomunicações daquele país”, postulou a Symantec. “A escuta clandestina é outra possibilidade. Alternativamente, os atacantes podem ter tentado construir uma capacidade disruptiva contra infra-estruturas críticas naquele país”.
