Revelando uma recente saga cibernética, os especialistas do SentinelLabs descobriram uma força digital ameaçadora, aprimorando estrategicamente as organizações russas. Em seu trabalho de detetive, eles traçaram a trilha sinistra até o notório grupo chinês APT, uma revelação corroborada pelos olhares vigilantes do CERT da Ucrânia (CERT-UA).
A trama se complica à medida que os adversários empregam táticas astutas, aproveitando e-mails de phishing como cavalos de Tróia, entregando documentos malévolos do Office armados com Bisonal – o Trojan de acesso remoto preferido do submundo (RATO). Como um eco cibernético, essas mesmas técnicas reverberaram além das fronteiras, visando vítimas inocentes em organizações paquistanesas, uma sinfonia sinistra observada meticulosamente pelas mentes perspicazes do SentinelLabs.
No grande teatro da guerra digital, China no centro do palco, orquestrando uma miríade de campanhas contra a Rússia, um crescendo retaliatório seguindo its invasion of Ukraine.
Em 22 de junho 2022 O CERT-UA divulgou publicamente Alerta #4860 que apresenta vários documentos construídos com a ajuda do construtor de documentos maliciosos Royal Road e construídos para refletir os interesses do governo russo. Especialistas do SentinelLabs analisaram mais detalhadamente o relatório do CERT-UA e confirmaram o envolvimento de um Grupo chinês APT.
A atividade maliciosa ocorre em meio a outros ataques chineses contra a Rússia, como o Space Pirates, Mustang Panda, Escaravelho, mas aqui é uma atividade chinesa separada. A identidade específica do ator não está clara até agora, embora permaneça claro que os grupos chineses de APT visam atingir uma ampla gama de diferentes organizações russas.
Quem pode estar por trás do ataque?
Os especialistas do SentinelLabs especulam que o Tonto Team APT (“Akhlut da Terra”, “CactusPete”) grupo, relatado por quase uma década, pode ser o potencial culpado por trás dos ataques. No entanto, sublinham que é prematuro tirar conclusões definitivas com base nos dados actualmente disponíveis.
Os documentos maliciosos são geralmente usados para a entrega de malware personalizado, como o RAT Bisonal, que conforme observado pelo CERT-UA, é exclusivo para grupos chineses, incluindo a equipe Tonto. Bisonal tem uma história excepcionalmente longa de uso e desenvolvimento contínuo por seus criadores, como expandir recursos para pesquisa e exfiltração de arquivos, técnicas de anti-análise e detecção, e manter o controle do sistema geralmente irrestrito,” vai em um relatório publicado por SentinelLabs.
O grupo Tonto Team APT também teve como alvo várias vítimas em todo o mundo, incluindo os alvos de seu interesse particular no Nordeste da Ásia, como empresas privadas., infraestrutura crítica, governos, etc.. O grupo tem sido particular nos seus interesses em alvos russos nos últimos anos, mas recentemente nesta direcção os especialistas observaram um aumento significativo de actividade..
Avaliamos com grande confiança que os documentos maliciosos construídos em Royal Road, malware entregue, e infraestrutura associada são atribuíveis a atores de ameaças chineses. Com base em nossas observações, tem havido um esforço contínuo para atingir as organizações russas por meio deste cluster através de métodos de ataque bem conhecidos – o uso de documentos maliciosos que exploram vulnerabilidades de n dias com iscas especificamente relevantes para organizações russas,” também vai em um relatório de pesquisadores.
No geral, o objectivo dos ataques parece estar relacionado com a espionagem., mas essa é uma suposição limitada devido à visibilidade externa dos pesquisadores’ ponto de vista.