Cibergrupos chineses exploraram vulnerabilidades em aplicações de acesso público

A Eset lançou o seu mais recente relatório de atividade APT que resume as atividades de grupos de ameaça persistente avançada (APT) que foram documentadas pelos seus investigadores desde o último trimestre de 2023 até ao final do primeiro semestre de 2024. 

As operações destacadas são representativas do cenário mais amplo de ameaças que a Eset investigou durante este período, ilustrando as principais tendências e desenvolvimentos, e contêm apenas uma fração dos dados de inteligência de cibersegurança fornecidos aos clientes dos relatórios privados de APT da Eset.

No período monitorizado, vários agentes de ameaças alinhados com a China exploraram vulnerabilidades em aplicações de acesso público, como VPN e firewalls, e software, como o Confluence e o Microsoft Exchange Server, para acesso inicial a alvos em vários setores. Com base na fuga de dados da I-SOON (Anxun), a Eset confirmou que este contratante chinês está efetivamente envolvido em ciberespionagem.

A Eset acompanhou uma parte das atividades da empresa no âmbito do grupo FishMonger. A Eset revelou também um novo grupo APT alinhado com a China, o CeranaKeeper, que se distingue pelas suas características únicas, mas que possivelmente partilha um quartel-general digital com o grupo Mustang Panda.

Após o ataque liderado pelo Hamas a Israel em outubro de 2023, a Eset detetou um aumento significativo da atividade de grupos de ciberameaças alinhados com o Irão. Especificamente, a MuddyWater e o Agrius passaram do seu anterior foco na ciberespionagem e no ransomware, respetivamente, para estratégias mais agressivas que envolvem a intermediação de acesso e ataques de impacto. Entretanto, as atividades do OilRig e do Ballistic Bobcat registaram uma quebra, o que sugere uma mudança estratégica para operações mais visíveis e mais “ruidosas” dirigidas a Israel.

Os grupos alinhados com a Coreia do Norte continuaram a visar as empresas aeroespaciais e de defesa e a indústria da criptomoedas, melhorando as suas capacidades de ciberespionagem através da realização de ataques à cadeia de abastecimento, desenvolvimento de instaladores de software trojanizado e de novas estirpes de malware e da exploração de vulnerabilidades de software.

Os grupos alinhados com a Rússia têm centrado as suas atividades na espionagem dentro da União Europeia e em ataques à Ucrânia. Além disso, a campanha da Operação Texonto, uma operação psicológica (PSYOP) descoberta por investigadores da ESET, tem vindo a espalhar informações falsas sobre os protestos relacionados com as eleições russas e a situação na cidade ucraniana de Kharkiv, fomentando a incerteza entre os ucranianos tanto dentro como fora do país.

A Eset também destacou uma campanha no Médio Oriente levada a cabo pelo SturgeonPhisher, um grupo que a empresa acredita estar alinhado com os interesses do Cazaquistão. O relatório revela ainda um ataque a um website de notícias regional sobre Guilguite-Baltistão, uma região disputada administrada pelo Paquistão e, por último, a exploração de uma vulnerabilidade de dia zero no Roundcube pelo Winter Vivern, um grupo que a ESET considera estar alinhado com os interesses da Bielorrússia.