Uma campanha de ciberespionagem atribuída a hackers ligados à China está mirando organizações militares do Sudeste Asiático em uma operação altamente direcionada que, segundo análise da Palo Alto Networks Unit 42, está em atividade desde pelo menos 2020. O grupo foi rastreado sob o nome CL-STA-1087, classificação usada para identificar um cluster com indícios de motivação estatal.

De acordo com a investigação, a campanha não tinha como foco roubo massivo de dados, mas sim a coleta precisa de informações estratégicas e sensíveis. Os invasores demonstraram interesse em documentos relacionados a capacidades militares, estruturas organizacionais, registros de reuniões oficiais e até cooperações com forças armadas ocidentais. Esse comportamento reforça o caráter de espionagem cibernética da operação, com ênfase em inteligência militar e monitoramento prolongado dos alvos.

Os pesquisadores destacaram que a atividade apresenta características típicas de operações APT (ameaças persistentes avançadas), como métodos de entrega cuidadosamente preparados, técnicas de evasão de defesa, infraestrutura operacional estável e uso de cargas maliciosas personalizadas para garantir acesso não autorizado por longos períodos. Em vez de ações barulhentas ou destrutivas, a campanha foi marcada por paciência operacional e foco cirúrgico na extração de dados estratégicos.

Entre as ferramentas identificadas estão os backdoors AppleChris e MemFun, além de um coletor de credenciais chamado Getpass, uma versão personalizada do conhecido Mimikatz. A descoberta da intrusão começou após a identificação de execuções suspeitas em PowerShell, usadas para colocar scripts em estado de espera por até seis horas antes de estabelecer shells reversos com servidores controlados pelos hackers. Até o momento, o vetor inicial de acesso não foi confirmado.

Segundo a análise, a cadeia de infecção inclui a implantação do AppleChris em diferentes versões, distribuídas entre os sistemas comprometidos após movimentação lateral dentro do ambiente invadido. O objetivo era manter persistência e dificultar a detecção por soluções baseadas em assinatura. Durante a operação, os invasores também realizaram buscas específicas por arquivos ligados a estruturas organizacionais militares, estratégias operacionais e sistemas C4I — sigla para comando, controle, comunicações, computadores e inteligência.

Um dos pontos mais sofisticados da campanha é a forma como os malwares obtêm seus endereços reais de comando e controle. Tanto variantes do AppleChris quanto o MemFun acessam uma conta compartilhada no Pastebin, usada como um tipo de resolvedor intermediário para recuperar o endereço do servidor C2, armazenado em formato codificado em Base64. Em uma das variantes, o AppleChris também usa o Dropbox para buscar essas informações, deixando o Pastebin como alternativa de contingência. Os registros analisados indicam que essas publicações no Pastebin existem desde setembro de 2020, o que sugere uma operação madura e de longa duração.

O AppleChris é ativado por meio de DLL hijacking, técnica em que uma biblioteca maliciosa é carregada no lugar de uma legítima para iniciar a infecção. Após se conectar ao servidor de comando e controle, o malware pode executar diversas funções, incluindo enumeração de discos, listagem de diretórios, upload, download e exclusão de arquivos, enumeração de processos, execução de shell remota e criação silenciosa de novos processos. Uma segunda variante do malware amplia ainda mais as capacidades, incorporando recursos avançados de proxy de rede.

Para evitar análise automatizada, algumas amostras utilizam táticas de evasão de sandbox em tempo de execução. Entre elas estão temporizadores de atraso que fazem o malware “dormir” por 30 segundos, no caso de executáveis, ou 120 segundos, no caso de DLLs. A estratégia é simples, mas eficaz: esperar tempo suficiente para ultrapassar a janela comum de monitoramento de ambientes automatizados de análise.

Já o MemFun opera com uma cadeia de infecção em múltiplas etapas. Um carregador inicial injeta shellcode responsável por iniciar um downloader em memória, cuja função principal é buscar configurações de C2 no Pastebin, estabelecer comunicação com a infraestrutura dos hackers e obter uma DLL que ativa o backdoor. Como essa DLL é baixada em tempo de execução, o MemFun oferece aos invasores mais flexibilidade para entregar novas cargas maliciosas sem precisar alterar a estrutura principal do malware, funcionando na prática como uma plataforma modular.

A investigação também apontou que o MemFun executa verificações antiforenses antes de alterar o próprio timestamp de criação para coincidir com o diretório Windows System, tentativa de dificultar análises posteriores. Depois disso, o malware injeta sua carga maliciosa na memória de um processo suspenso ligado ao dllhost.exe, usando a técnica de process hollowing. Dessa forma, o código malicioso passa a rodar disfarçado como um processo legítimo do Windows, reduzindo a geração de artefatos em disco e aumentando a furtividade da operação.

Outro componente relevante da campanha é o Getpass, uma versão customizada do Mimikatz usada para elevar privilégios e extrair senhas em texto claro, hashes NTLM e dados de autenticação diretamente da memória do processo lsass.exe. Esse tipo de recurso amplia significativamente o potencial de comprometimento, já que permite aos hackers expandir acesso, movimentar-se lateralmente e consolidar controle sobre os ambientes atingidos.

Na avaliação final, a Unit 42 ressaltou que o grupo demonstrou alto nível de disciplina operacional e consciência de segurança. Os invasores teriam mantido acessos dormentes por meses, priorizando espionagem de precisão e adotando medidas robustas para prolongar a campanha sem chamar atenção. O caso reforça como operações de ciberespionagem patrocinadas por Estados continuam evoluindo em sofisticação, especialmente quando o alvo envolve setores militares e estratégicos.