Oito das principais agências de segurança cibernética do ocidente emitiram um alerta conjunto sobre as atividades do grupo chinês de espionagem cibernética APT40, que é capaz de explorar vulnerabilidades de software horas ou dias após a descoberta da falha. O APT40 (ou Bronze Mohawk, Gingham Typhoon, Kryptonite Panda, Leviathan, Red Ladon, TA423) está em operação desde 2013. Seus principais alvos estão na região Ásia-Pacífico. Acredita-se que o grupo de hackers esteja baseado em Haikou e opere sob o patrocínio e apoio do Ministério de Segurança do Estado (MSS) da China.
Veja isso
Hackers ligados à Rússia e China exploram dia zero do WinRAR
Microsoft remove 18 aplicações do Azure usadas por hackers chineses
Em julho de 2021, o Reino Unido atribuiu o APT40 ao governo chinês. Vários membros do grupo foram acusados de uma campanha de vários anos para roubar segredos comerciais, propriedade intelectual e informações valiosas de vários setores.
O APT40 monitora ativamente novas vulnerabilidades em softwares amplamente utilizados, como Log4j , Atlassian Confluence e Microsoft Exchange. O grupo realiza regularmente reconhecimento de redes em vários países para encontrar dispositivos vulneráveis e implementar explorações rapidamente.
Uma característica importante das táticas do grupo é o uso de web shells para estabelecer e manter o acesso ao ambiente da vítima, bem como o uso de sites australianos como servidor C2. O grupo também incorpora dispositivos desatualizados ou não atualizados em sua infraestrutura, como roteadores SOHO , para redirecionar o tráfego malicioso e evitar a detecção. Um estilo semelhante de operação é comum a outros grupos chineses, como o Volt Typhoon.
O APT40 tem sido associado a várias ondas de ataques nos últimos anos. Isso inclui o uso da estrutura ScanBox para reconhecimento e exploração de uma vulnerabilidade no WinRAR ( CVE-2023-38831 , pontuação CVSS: 7,8).
De acordo com a Mandiant, as atividades do APT40 fazem parte de uma tendência mais ampla da espionagem cibernética chinesa que visa aumentar a furtividade. Grupos de hackers estão usando cada vez mais dispositivos na borda da rede (Edge of Network, Edge Computing ), redes ORB ( Operational Relay Box ) e métodos LotL ( Living off the Land ) para permanecerem sem serem detectados.