- A campanha Ink Dragon viola os governos europeus ao explorar servidores IIS e SharePoint mal configurados
- A equipe usa seu backdoor FinalDraft para misturar o tráfego C2 com a atividade normal da nuvem da Microsoft
- Dezenas de entidades governamentais e de telecomunicações em todo o mundo tornaram-se nós de retransmissão para operações futuras
O Ink Dragon, um popular ator de ameaças apoiado pelo Estado chinês, estendeu seu alcance aos governos europeus usando dispositivos mal configurados para entrada inicial e estabelecendo persistência misturando-os com o tráfego regular, alertaram especialistas.
Um relatório dos pesquisadores de segurança cibernética Check Point Software afirma que os invasores estão usando servidores Microsoft IIS e SharePoint como nós para operações futuras.
“Este estágio é normalmente de baixo ruído e se propaga através de infraestrutura que compartilha as mesmas credenciais ou modelos de gerenciamento”, disseram os pesquisadores da Check Point.
Atualizações no FinalDraft
Para obter acesso antecipado, a equipe não usa vulnerabilidades de dia zero ou outras vulnerabilidades que provavelmente acionariam soluções de segurança e alarmes. Em vez disso, eles examinam os servidores em busca de vulnerabilidades e configurações incorretas, passando despercebidos com sucesso.
Depois de encontrar uma conta com acesso em nível de domínio, a equipe se espalha para outros sistemas, instala backdoors e outros malwares, estabelece acesso de longo prazo e exfiltra dados confidenciais.
Em sua caixa de ferramentas, o Ink Dragon tem um backdoor chamado FinalDraft, que foi atualizado recentemente para se misturar às atividades regulares na nuvem da Microsoft. Foi dito que seu tráfego C2 geralmente é deixado na pasta “rascunhos” de uma conta de e-mail. O interessante é que o malware só funciona durante o horário comercial normal, quando o tráfego é maior e qualquer atividade suspeita é mais difícil de detectar.
Finalmente, uma vez garantido o acesso permanente aos servidores comprometidos, os invasores reconfiguram a infraestrutura das vítimas instalando módulos personalizados baseados em IIS em sistemas voltados para a Internet, tornando-os pontos de retransmissão para suas operações maliciosas.
A Check Point não soube identificar os nomes das vítimas por razões óbvias, mas revelou que “dezenas” de entidades foram atingidas, incluindo organizações governamentais e empresas de telecomunicações na Europa, Ásia e África.
“Embora não possamos divulgar as identidades das entidades afetadas ou dos países específicos, observámos que o ator iniciou operações com base em retransmissões no segundo semestre de 2025, seguido por uma expansão gradual da cobertura das vítimas ao longo do tempo”, disseram os investigadores.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
