Entidades governamentais no Médio Oriente, África e Ásia são alvo de um grupo chinês de ameaças persistentes avançadas (APT) como parte de uma campanha de espionagem cibernética em curso denominada Operação Espectro Diplomático desde pelo menos o last de 2022.
“Uma análise da atividade deste ator de ameaça revela operações de espionagem de longo prazo contra pelo menos sete entidades governamentais”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Lior Rochberger e Daniel Frank, em um relatório compartilhado com o The Hacker Information.
“O ator da ameaça realizou esforços de coleta de inteligência em grande escala, aproveitando técnicas raras de exfiltração de e-mail contra servidores comprometidos”.
A empresa de segurança cibernética, que anteriormente rastreou o cluster de atividades sob o nome CL-STA-0043, disse que está graduando-o para um grupo de atores temporários com o codinome TGR-STA-0043 devido à sua avaliação de que o conjunto de intrusão é o trabalho de um único ator operando em nome dos interesses alinhados pelo Estado chinês.
Os alvos dos ataques incluem missões diplomáticas e económicas, embaixadas, operações militares, reuniões políticas, ministérios dos países visados e altos funcionários.
CL-STA-0043 foi documentado pela primeira vez em junho de 2023 como tendo como alvo agências governamentais no Oriente Médio e na África, usando técnicas raras de roubo de credenciais e exfiltração de e-mail do Alternate.
Uma análise subsequente da Unidade 42 no last do ano passado revelou sobreposições entre CL-STA-0043 e CL-STA-0002 decorrentes do uso de um programa chamado Ntospy (também conhecido como NPPSpy) para operações de roubo de credenciais.
As cadeias de ataques orquestradas pelo grupo envolveram um conjunto de backdoors anteriormente não documentados, como TunnelSpecter e SweetSpecter, que são variantes do infame Gh0st RAT, uma ferramenta usada profusamente em campanhas de espionagem orquestradas por hackers do governo de Pequim.
TunnelSpecter recebe esse nome devido ao uso de tunelamento DNS para exfiltração de dados, proporcionando uma camada further de furtividade. SweetSpecter, por outro lado, é assim chamado por suas semelhanças com SugarGh0st RAT, outra variante personalizada do Gh0st RAT que foi usada por um suspeito de ameaça de língua chinesa desde agosto de 2023.
Ambos os backdoors permitem que o adversário mantenha acesso furtivo às redes de seus alvos, juntamente com a capacidade de executar comandos arbitrários, exfiltrar dados e implantar mais malware e ferramentas nos hosts infectados.
“O ator da ameaça parece monitorar de perto os desenvolvimentos geopolíticos contemporâneos, tentando exfiltrar informações diariamente”, disseram os pesquisadores.
Isto é conseguido através de esforços direccionados para se infiltrar nos servidores de correio dos alvos e procurá-los em busca de informações de interesse, em alguns casos tentando repetidamente recuperar o acesso quando as actividades dos atacantes foram detectadas e interrompidas. O acesso inicial é realizado pela exploração de falhas conhecidas do servidor Alternate, como ProxyLogon e ProxyShell.
“O ator da ameaça pesquisou palavras-chave específicas e exfiltrou tudo o que pôde encontrar relacionado a elas, como caixas de entrada inteiras arquivadas pertencentes a missões diplomáticas ou indivíduos específicos”, apontaram os pesquisadores. “O ator da ameaça também exfiltrou arquivos relacionados aos tópicos que procurava.”
As ligações chinesas à Operação Diplomatic Spectre decorrem ainda da utilização de infra-estruturas operacionais utilizadas exclusivamente por grupos do nexo da China, como APT27, Mustang Panda e Winnti, para não mencionar ferramentas como o net shell China Chopper e o PlugX.
“As técnicas de exfiltração observadas como parte da Operação Diplomatic Spectre fornecem uma janela distinta para os possíveis objetivos estratégicos do ator ameaçador por trás dos ataques”, concluíram os pesquisadores.
“O ator da ameaça procurou informações altamente confidenciais, abrangendo detalhes sobre operações militares, missões diplomáticas e embaixadas e ministérios de relações exteriores”.
