Uma nova campanha de ciberespionagem atribuída a hackers alinhados à China está mirando governos, setores de defesa, jornalistas e ativistas em diversas regiões do mundo, combinando exploração de vulnerabilidades conhecidas, implantes avançados e campanhas de phishing altamente direcionadas.

Pesquisadores da Trend Micro identificaram o cluster de atividade como SHADOW-EARTH-053, ativo desde pelo menos dezembro de 2024. O grupo tem como principal vetor de entrada a exploração de vulnerabilidades conhecidas — as chamadas N-days — em servidores expostos à internet, especialmente Microsoft Exchange e aplicações baseadas em IIS. Após a exploração inicial, os hackers implantam web shells como o Godzilla, permitindo acesso remoto persistente aos sistemas comprometidos.

A cadeia de ataque segue um padrão bem definido. Após a invasão inicial, os invasores utilizam os web shells para execução remota de comandos e reconhecimento do ambiente. Em seguida, implantam o backdoor ShadowPad por meio de técnicas de DLL side-loading, abusando de executáveis legítimos assinados digitalmente para carregar código malicioso sem levantar suspeitas.

Em alguns casos, os hackers também exploraram a vulnerabilidade React2Shell (CVE-2025-55182), utilizada para distribuir uma variante Linux do malware Noodle RAT, ampliando a capacidade de controle remoto sobre os sistemas afetados. Esse tipo de abordagem demonstra a flexibilidade operacional do grupo, que consegue atuar tanto em ambientes Windows quanto Linux.

Para manter comunicação com a infraestrutura comprometida e evitar detecção, os invasores utilizam ferramentas legítimas e open source como IOX, GOST e Wstunnel, além de técnicas de empacotamento com RingQ para ofuscação de payloads. A elevação de privilégios é realizada com ferramentas conhecidas como Mimikatz, enquanto a movimentação lateral ocorre por meio de RDP customizado e implementações como Sharp-SMBExec.

Os alvos principais incluem países da Ásia, como Índia, Tailândia, Malásia, Sri Lanka, Taiwan e Paquistão, além de um país europeu membro da OTAN: a Polônia. A escolha dos alvos indica um foco claro em coleta de inteligência estratégica, especialmente em governos e setores críticos.

Paralelamente, outra vertente da campanha envolve ataques de phishing conduzidos por grupos também ligados à China, identificados como GLITTER CARP e SEQUIN CARP. Esses grupos têm como alvo jornalistas, ativistas e organizações da sociedade civil, incluindo membros da diáspora uigur, tibetana, taiwanesa e de Hong Kong.

Essas campanhas utilizam engenharia social avançada, com e-mails que simulam comunicações legítimas de jornalistas, organizações internacionais e até alertas de segurança de empresas de tecnologia. O objetivo é induzir as vítimas a fornecer credenciais, acessar páginas falsas ou conceder permissões OAuth para aplicativos maliciosos.

Um dos recursos observados é o uso de pixels de rastreamento 1x1 em e-mails, que permitem aos hackers confirmar se a mensagem foi aberta e coletar informações do dispositivo da vítima. Além disso, há uso de kits de phishing AiTM, que capturam credenciais e tokens de sessão em tempo real.

Os pesquisadores também observaram sobreposição de infraestrutura e táticas entre diferentes grupos, sugerindo um ecossistema distribuído de operações, possivelmente envolvendo empresas contratadas para executar atividades de espionagem em nome do Estado chinês. Esse modelo reforça uma tendência crescente de “terceirização” de operações cibernéticas ofensivas.

O impacto dessas campanhas vai além do comprometimento técnico. Trata-se de operações de espionagem e repressão digital transnacional, com foco em vigilância, coleta de inteligência e monitoramento de opositores políticos e jornalistas. Isso amplia significativamente o risco para organizações e indivíduos envolvidos em temas sensíveis.

Diante desse cenário, especialistas recomendam a aplicação imediata de patches de segurança, especialmente em servidores expostos, além da implementação de controles compensatórios como WAF e IPS para bloquear tentativas de exploração. Também é essencial reforçar a segurança de identidade, monitorar acessos suspeitos e investir em conscientização contra phishing direcionado.