- Grupo Silver Dragon, apoiado pelo Estado da China, tem como alvo governos
- Os invasores usam secretamente os serviços do Google Cloud e do Windows
- GearDoor permite que você crie um backdoor personalizado para despejar dados ocultos
Atores de ameaças patrocinados pelo Estado chinês foram vistos abusando de serviços legítimos do Windows e do Google Cloud para encobrir seus rastros enquanto espionam seus alvos no Sudeste Asiático e na Europa.
Um novo relatório da Check Point Research (CPR) mostra como um grupo chamado Silver Dragon tem estado ativo pelo menos desde meados de 2024, visando instituições governamentais em países europeus como Rússia, Polónia, Hungria e Itália, mas também Japão, Myanmar e Malásia.
Silver Dragon parece fazer parte do APT41, um notório ator patrocinado pelo Estado, principalmente envolvido em espionagem cibernética.
Aproveitando o “ruído” habitual.
Os ataques geralmente começam com um e-mail de phishing, personificando comunicações oficiais e compartilhando documentos e links armados. Alternativamente, a equipe procuraria sistemas voltados para a Internet, comprometendo servidores e investigando profundamente as redes internas para implantar ferramentas adicionais.
No centro da campanha está um backdoor personalizado chamado GearDoor que usa o Google Drive como infraestrutura de comando e controle (C2) em vez do tradicional servidor shadow. Cada máquina infectada cria uma pasta do Google Cloud em uma conta dedicada, carrega dados periódicos de pulsação e recupera comandos do operador disfarçados de arquivos normais.
Toda inteligência roubada é expulsa no mesmo lugar.
O Silver Dragon também foi visto sequestrando serviços legítimos do Windows, interrompendo-os e reiniciando-os para carregar códigos maliciosos sob nomes confiáveis. Isso inclui o Windows Update, o Bluetooth e os utilitários .NET Framework.
Ao combinar a atividade normal do sistema, os invasores podem permanecer no sistema por mais tempo, sem serem vistos pelos defensores. A CPR diz que a tática funciona muito bem em ambientes grandes “onde os serviços do sistema geram ruído regular”.
Os hackers implantam uma variedade de ferramentas pós-exploração, como SSHcmd ou Cobalt Strike. O primeiro é um utilitário SSH leve que permite a execução remota de comandos e transferência de arquivos, e o Cobalt Strike é uma ferramenta de pentesting comumente usada por agentes de ameaças.
“Em vez de depender apenas de infraestruturas personalizadas, os intervenientes alinhados com o Estado estão a aceder cada vez mais a sistemas empresariais legítimos e a serviços em nuvem fiáveis. Isto reduz a visibilidade das defesas perimetrais tradicionais e prolonga o tempo de permanência nas redes alvo”, concluiu o CPR.
“Para a liderança executiva, a implicação é clara: a exposição não está mais limitada a malware evidente ou conexões externas suspeitas. O risco agora inclui abuso sutil de serviços legítimos, plataformas de nuvem e componentes principais do sistema operacional.”
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
