Organizações em Taiwan e uma organização não governamental (ONG) dos EUA sediada na China foram alvos de um grupo de hackers patrocinado pelo Estado e afiliado a Pequim, chamado Adaga-mosca usando um conjunto atualizado de ferramentas de malware.
A campanha é um sinal de que o grupo “também se envolve em espionagem interna”, disse a Risk Hunter Workforce da Symantec, parte da Broadcom, em um novo relatório publicado hoje. “No ataque a esta organização, os invasores exploraram uma vulnerabilidade em um servidor HTTP Apache para entregar seu malware MgBot.”
Daggerfly, também conhecido pelos nomes Bronze Highland e Evasive Panda, foi observado anteriormente usando a estrutura de malware modular MgBot em conexão com uma missão de coleta de inteligência voltada para provedores de serviços de telecomunicações na África. Sabe-se que está operacional desde 2012.
“O Daggerfly parece ser capaz de responder à exposição atualizando rapidamente seu conjunto de ferramentas para continuar suas atividades de espionagem com o mínimo de interrupção”, observou a empresa.
O último conjunto de ataques é caracterizado pelo uso de uma nova família de malware baseada no MgBot, bem como uma versão aprimorada de um malware conhecido do Apple macOS chamado MACMA, que foi exposto pela primeira vez pelo Risk Evaluation Group (TAG) do Google em novembro de 2021 como distribuído por meio de ataques de watering gap direcionados a usuários da Web em Hong Kong, abusando de falhas de segurança no navegador Safari.
O desenvolvimento marca a primeira vez que a cepa de malware, que é capaz de coletar informações confidenciais e executar comandos arbitrários, foi explicitamente vinculada a um grupo de hackers específico.
“Os agentes por trás do macOS.MACMA pelo menos estavam reutilizando código de desenvolvedores ELF/Android e possivelmente também poderiam ter como alvo telefones Android com malware”, observou o SentinelOne em uma análise subsequente na época.
As conexões do MACMA com o Daggerly também decorrem de sobreposições de código-fonte entre o malware e o Mgbot, e do fato de que ele se conecta a um servidor de comando e controle (C2) (103.243.212(.)98) que também foi usado por um dropper do MgBot.
Outro novo malware em seu arsenal é o Nightdoor (também conhecido como NetMM e Suzafk), um implante que usa a API do Google Drive para C2 e tem sido utilizado em ataques de watering gap direcionados a usuários tibetanos desde pelo menos setembro de 2023. Os detalhes da atividade foram documentados pela primeira vez pela ESET no início de março.
“O grupo pode criar versões de suas ferramentas visando a maioria das principais plataformas de sistemas operacionais”, disse a Symantec, acrescentando que “viu evidências da capacidade de trojanizar APKs do Android, ferramentas de interceptação de SMS, ferramentas de interceptação de solicitações de DNS e até mesmo famílias de malware visando o Solaris OS”.
O desenvolvimento ocorre no momento em que o Centro Nacional de Resposta a Emergências de Vírus de Computador da China (CVERC) afirma que o Volt Hurricane — que foi atribuído pelas nações 5 Eyes como um grupo de espionagem com ligação à China — é uma invenção das agências de inteligência dos EUA, descrevendo-o como uma campanha de desinformação.
“Embora seus principais alvos sejam o Congresso dos EUA e o povo americano, ele também tenta difamar a China, semear discórdias entre a China e outros países, conter o desenvolvimento da China e roubar empresas chinesas”, afirmou o CVERC em um relatório recente.
