Aplicativos falsos do Dalai Lama são usados para espionar a comunidade Tibetana

A comunidade tibetana global foi alvo de um sofisticado grupo de ciberespionagem ligado à China em duas campanhas distintas, conduzidas no mês passado em antecipação ao 90º aniversário do Dalai Lama, celebrado em 6 de julho de 2025. Os ataques foram projetados para enganar membros da comunidade e instalar malwares de espionagem em seus dispositivos.

As operações, batizadas de "Operation GhostChat" e "Operation PhantomPrayers" pela empresa de segurança Zscaler ThreatLabz, utilizaram uma tática conhecida como "watering hole" (ou "bebedouro", em tradução livre).

"Os invasores comprometeram um site legítimo, redirecionando os usuários através de um link malicioso e, por fim, instalando os backdoors Gh0st RAT ou PhantomNet (também conhecido como SManager) nos sistemas das vítimas", afirmaram os pesquisadores de segurança Sudeep Singh e Roy Tay em um relatório divulgado na quarta-feira.

Esta não é a primeira vez que hackers chineses recorrem a ataques de "watering hole", uma técnica onde os invasores comprometem websites frequentemente visitados por um grupo específico para infectar seus dispositivos. Nos últimos dois anos, grupos hackers como EvilBamboo, Evasive Panda e TAG-112 já utilizaram essa abordagem para espionar a diáspora tibetana, com o objetivo final de coletar informações sensíveis.

Na primeira campanha, os hackers comprometeram uma página do site tibetfund[.]org e alteraram o link que apontava para as comemorações do aniversário. O link original foi substituído por uma versão fraudulenta que levava a thedalailama90.niccenter[.]net.

Enquanto a página legítima permitia enviar uma mensagem ao Dalai Lama, a página falsa adicionava uma opção para "enviar uma mensagem criptografada" ao líder espiritual. Para isso, a vítima era instruída a baixar um suposto aplicativo de chat seguro chamado TElement, que se passava por uma versão tibetana do software de código aberto Element.

O aplicativo, no entanto, era uma versão trojanizada (ou "cavalo de Troia"). Ele continha uma DLL maliciosa que, através de uma técnica de sequestro de DLL (DLL side-loading), instalava o Gh0st RAT, um trojan de acesso remoto amplamente utilizado por diversos grupos hackers chineses. O Gh0st RAT é um malware completo que permite ao invasor:

• Manipular arquivos;

• Capturar a tela;

• Extrair conteúdo da área de transferência;

• Gravar vídeo da webcam;

• Registrar teclas digitadas (keylogging);

• Gravar e reproduzir áudio;

• Controlar processos do sistema e abrir um terminal remoto.

A segunda campanha, "Operation PhantomPrayers", utilizou outro domínio malicioso, hhthedalailama90.niccenter[.]net, para distribuir um falso aplicativo de "Check-in Global do 90º Aniversário" chamado DalaiLamaCheckin.exe.

Quando aberto, o programa exibia um mapa interativo e incentivava as vítimas a "enviarem suas bênçãos" ao Dalai Lama, clicando em sua localização no mapa. Enquanto a vítima interagia com o mapa, uma funcionalidade maliciosa era acionada secretamente em segundo plano.

Novamente, usando técnicas de DLL side-loading, o aplicativo instalava o PhantomNet, um backdoor que estabelece contato com um servidor de comando e controle (C2) para receber plugins adicionais e executá-los na máquina comprometida.

"O PhantomNet pode ser configurado para operar apenas durante horários ou dias específicos, embora essa capacidade não estivesse habilitada na amostra atual", observaram os pesquisadores. "Ele utiliza plugins modulares, tráfego com o servidor C2 criptografado com AES e operações temporizadas para gerenciar furtivamente os sistemas comprometidos."

Via - THN