Entidades governamentais não identificadas no Oriente Médio e na Malásia são alvo de uma campanha cibernética persistente orquestrada por um agente de ameaças conhecido como Tropic Trooper desde junho de 2023.
“Observar (Táticas, Técnicas e Procedimentos) desse grupo em entidades governamentais críticas no Oriente Médio, particularmente aquelas relacionadas a estudos de direitos humanos, marca um novo movimento estratégico para eles”, disse o pesquisador de segurança da Kaspersky, Sherif Magdy.
O fornecedor russo de segurança cibernética disse que detectou a atividade em junho de 2024 ao descobrir uma nova versão do China Chopper net Shell, uma ferramenta compartilhada por muitos agentes de ameaças de língua chinesa para acesso remoto a servidores comprometidos, em um servidor net público que hospeda um sistema de gerenciamento de conteúdo (CMS) de código aberto chamado Umbraco.
A cadeia de ataque foi projetada para entregar um implante de malware chamado Crowdoor, uma variante do backdoor SparrowDoor documentado pela ESET em setembro de 2021. Os esforços acabaram não tendo sucesso.
Tropic Trooper, também conhecido pelos nomes APT23, Earth Centaur, KeyBoy e Pirate Panda, é conhecido por ter como alvo o governo, a saúde, o transporte e as indústrias de alta tecnologia em Taiwan, Hong Kong e Filipinas. O coletivo de língua chinesa foi avaliado como ativo desde 2011, compartilhando laços estreitos com outro conjunto de intrusão rastreado como FamousSparrow.
A mais recente intrusão destacada pela Kaspersky é significativa para compilar o shell da net China Chopper como um módulo .NET do Umbraco CMS, com exploração subsequente levando à implantação de ferramentas para varredura de rede, movimento lateral e evasão de defesa, antes de lançar o Crowdoor usando técnicas de carregamento lateral de DLL.
Suspeita-se que os net shells sejam entregues explorando vulnerabilidades de segurança conhecidas em aplicativos net acessíveis publicamente, como Adobe ColdFusion (CVE-2023-26360) e Microsoft Change Server (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207).
O Crowdoor, observado pela primeira vez em junho de 2023, também funciona como um carregador para instalar o Cobalt Strike e manter a persistência nos hosts infectados, além de atuar como um backdoor para coletar informações confidenciais, iniciar um shell reverso, apagar outros arquivos de malware e se autodestruir.
“Quando o ator percebeu que seus backdoors foram detectados, ele tentou enviar amostras mais novas para evitar a detecção, aumentando assim o risco de seu novo conjunto de amostras ser detectado em um futuro próximo”, observou Magdy.
“A importância dessa intrusão está na observação de um ator de língua chinesa tendo como alvo uma plataforma de gerenciamento de conteúdo que publicava estudos sobre direitos humanos no Oriente Médio, com foco específico na situação em torno do conflito Israel-Hamas.”
“Nossa análise dessa intrusão revelou que todo esse sistema foi o único alvo durante o ataque, indicando um foco deliberado nesse conteúdo específico.”
