Um grupo de hackers patrocinado pelo governo chinês foi rastreado tentando se infiltrar em ministérios de relações exteriores e embaixadas na Europa usando técnicas de contrabando de HTML para implantar o trojan de acesso remoto PlugX em sistemas desses órgãos. Contrabando de HTML é uma técnica de intrusão que permite que os hackers distribuam cargas maliciosas, utilizando evasão de detecção por recursos de segurança.
A Check Point Software disse que a operação dos hackers, apelidada de SmugX, está em andamento desde ao menos dezembro de 2022. “A campanha usa novos métodos de entrega para implantar, usando a técnica de contrabando de HTML, uma nova variante do PlugX, trojan comumente associado a uma ampla variedade de operadores de ameaças chineses”, disse a empresa de segurança cibernética.
Segundo a Check Point, embora a carga útil em si permaneça semelhante à encontrada nas variantes PlugX mais antigas, seus métodos de entrega resultam em baixas taxas de detecção, o que até recentemente ajudou a campanha a passar despercebida.
Também chamado de Korplug, o malware remonta a 2008 e é um trojan modular capaz de acomodar “diversos plugins com funcionalidades distintas” que permite aos operadores realizar roubo de arquivos, capturas de tela, registro de pressionamento de tecla e execução de comandos.
A identidade exata do operador da ameaça por trás da operação é um pouco nebulosa, embora as pistas existentes apontem na direção do grupo Mustang Panda, que também compartilha sobreposições com clusters rastreados como Earth Preta, RedDelta e a própria designação usada pela Check Point de Camaro Dragon. No entanto, a empresa disse que não há “provas suficientes” nesta fase para atribuí-lo conclusivamente ao coletivo Mustang Panda.
Veja isso
Hackers usam redes proxy para invadir servidores SSH vulneráveis
Hackers estão sequestrando sistemas Linux para criptojacking
A sequência de ataque mais recente é significativa para o uso de contrabando de HTML — técnica na qual recursos legítimos de HTML5 e JavaScript são explorados para montar e lançar o malware — nos documentos de isca anexados a e-mails de spear phishing. O processo de infecção em vários estágios utiliza métodos de carregamento lateral de DLL (Dynamic-link library, ou biblioteca de vínculo dinâmico) para descriptografar e iniciar a carga útil final PlugX.
Uma análise dos documentos, que foram carregados no banco de dados de malware VirusTotal, revela que o trojan foi projetado para atingir diplomatas e entidades governamentais na República Tcheca, Hungria, Eslováquia, Reino Unido, Ucrânia e também na França e na Suécia.