Uma campanha de ciberespionagem, com suspeitas de ligações ao governo chinês, teve como alvo um departamento governamental da Sérvia responsável pela aviação, bem como outras instituições europeias. A investigação foi divulgada pela empresa de cibersegurança StrikeReady.
A ofensiva digital começou no final de setembro, com o envio de emails de phishing a um gabinete do governo sérvio. Uma análise mais aprofundada revelou atividades maliciosas semelhantes na Hungria, Bélgica, Itália e Países Baixos, mostrando o vasto alcance da operação.
O método de ataque: Páginas falsas e documentos isco
Os alvos que clicavam nas ligações presentes nos emails eram redirecionados para páginas falsas de verificação da Cloudflare. Esta é uma tática comum utilizada pelos atacantes para dar uma aparência legítima aos seus sites maliciosos antes de instalarem o malware.
Para enganar as vítimas, os hackers utilizaram documentos isco com temas relacionados com assuntos governamentais europeus. Entre os ficheiros encontravam-se um plano de estudos da Academia Nacional de Administração Pública da Sérvia, a agenda de uma reunião da Comissão Europeia e um convite para a cimeira da Comunidade Política Europeia.
As ferramentas do crime com assinatura chinesa
A investigação da StrikeReady revelou que os atacantes recorreram a famílias de malware bem conhecidas: Sogu, PlugX e Korplug. Estas ferramentas têm sido associadas, de forma quase exclusiva, a grupos de hackers patrocinados pelo Estado chinês ao longo dos anos. Embora a campanha não tenha sido atribuída a um grupo específico, os especialistas acreditam que está ligada a operações de espionagem com origem na China.
Este tipo de tática não é novidade. Em agosto, investigadores da Google descobriram uma campanha de espionagem atribuída ao grupo chinês UNC6384, que visava diplomatas no Sudeste Asiático utilizando o malware Sogu para roubar dados. Outros grupos, como o Mustang Panda, também já utilizaram o PlugX em ataques que simulavam agendas de reuniões do Conselho da UE.
O PlugX, em particular, tem sido uma ferramenta recorrente. No início deste ano, as autoridades norte-americanas removeram este malware de milhares de computadores infetados nos EUA. No ano passado, foi utilizado para espiar organizações de saúde na Europa e, em 2024, foram detetadas infeções em mais de 170 países.
De momento, ainda não é claro que tipo de informação foi acedida nesta mais recente campanha ou se os atacantes conseguiram atingir os seus objetivos finais.
Nenhum comentário
Seja o primeiro!