Organizações estratégicas localizadas no Sul, Sudeste e Leste da Ásia estão sendo alvo de uma campanha prolongada de ataques cibernéticos atribuída a um grupo hacker com provável ligação à China. A operação tem como foco setores considerados críticos, incluindo aviação, energia, governo, forças policiais, indústria farmacêutica, tecnologia e telecomunicações.

A atividade foi identificada pela Unit 42, da Palo Alto Networks, que classificou os ataques como parte de um cluster de ameaças até então desconhecido, batizado de CL-UNK-1068 onde “CL” significa cluster e “UNK” indica motivação ainda não totalmente confirmada. Mesmo assim, a análise aponta com confiança moderada a alta que o objetivo principal da campanha é ciberespionagem.

Segundo a investigação, os invasores utilizam um conjunto diversificado de ferramentas que inclui malwares personalizados, utilitários open source modificados e ferramentas legítimas do sistema operacional, uma técnica conhecida como Living-off-the-Land (LOLBins). Essa estratégia permite manter presença persistente nos ambientes comprometidos sem levantar suspeitas.

Ataques exploram servidores web para obter acesso inicial

O ponto de entrada mais comum nos ataques envolve a exploração de servidores web vulneráveis, permitindo aos invasores instalar web shells e posteriormente se movimentar lateralmente dentro da rede comprometida.

Entre as ferramentas utilizadas estão:

• Godzilla – web shell amplamente utilizado por grupos hackers chineses

• ANTSWORD – ferramenta de controle remoto via web shell

• Xnote – backdoor para sistemas Linux

• FRP (Fast Reverse Proxy) – usado para manter acesso persistente à rede

Essas ferramentas já foram observadas anteriormente em operações de diferentes grupos hackers associados à China.

Após comprometer o servidor web, os invasores buscam arquivos sensíveis armazenados no diretório c:\inetpub\wwwroot de servidores Windows. O objetivo é localizar informações que possam revelar credenciais ou vulnerabilidades adicionais.

Entre os arquivos procurados estão:

• web.config

• .aspx

• .asmx

• .asax

• .dll

Além disso, os invasores também coletam:

• histórico e favoritos de navegadores

• arquivos XLSX e CSV

• backups de bancos de dados MS-SQL (.bak)

Técnica incomum de exfiltração de dados sem upload

Um detalhe curioso identificado na operação é o método utilizado para exfiltrar dados sem transferir arquivos diretamente da máquina comprometida.

O processo funciona da seguinte forma:

1. Os arquivos coletados são compactados com WinRAR

2. O arquivo é convertido para Base64 usando o comando certutil -encode

3. O comando type é usado para exibir o conteúdo codificado na tela

Como os invasores acessam o sistema através de um web shell, eles conseguem copiar manualmente o conteúdo exibido no terminal, evitando transferências de arquivos que poderiam ser detectadas por sistemas de segurança.

DLL side-loading e ferramentas legítimas para execução furtiva

Outra técnica utilizada pelo grupo é o DLL side-loading, executado através de binários legítimos do Python, como:

• python.exe

• pythonw.exe

Essa técnica permite carregar bibliotecas DLL maliciosas sem levantar suspeitas. Entre os componentes executados dessa forma estão:

• FRP, para acesso persistente

• PrintSpoofer, ferramenta para elevação de privilégios

• ScanPortPlus, um scanner personalizado escrito em Go

Roubo de credenciais com Mimikatz e ferramentas especializadas

O grupo também utiliza diversas ferramentas voltadas ao roubo de credenciais e informações sensíveis, incluindo:

• Mimikatz – extração de senhas da memória do Windows

• LsaRecorder – interceptação de credenciais do processo WinLogon

• DumpItForLinux e Volatility Framework – extração de hashes de memória em sistemas Linux

• SQL Server Management Studio Password Export Tool – recuperação de credenciais armazenadas no arquivo sqlstudio.bin

Além disso, investigações apontam que desde 2020 o grupo já utilizava uma ferramenta personalizada chamada SuperDump, desenvolvida em .NET, para realizar reconhecimento de rede e coleta de informações do sistema.

Mais recentemente, os invasores passaram a usar scripts batch para mapear ambientes comprometidos e coletar dados sobre a infraestrutura local.

Campanha silenciosa e persistente

De acordo com a análise técnica, o grupo tem se destacado por conduzir operações discretas e persistentes, utilizando principalmente ferramentas open source ou componentes legítimos do sistema operacional para reduzir a chance de detecção.

Embora a forte presença em setores estratégicos e a coleta sistemática de credenciais e dados sensíveis indiquem motivações de espionagem, especialistas afirmam que ainda não é possível descartar completamente objetivos financeiros ou outras atividades de cibercrime.

A operação demonstra como grupos hackers avançados conseguem comprometer organizações críticas utilizando ferramentas amplamente disponíveis, explorando vulnerabilidades em servidores web e aproveitando recursos legítimos do sistema para manter acesso prolongado às redes comprometidas.