O grupo Earth Ammit, associado a ameaças persistentes avançadas (APT) de origem chinesa, realizou duas campanhas de ciberataques entre 2023 e 2024, mirando diretamente a cadeia de suprimentos de drones e sistemas de defesa na Ásia. As operações, batizadas de VENOM e TIDRONE, foram reveladas na conferência Black Hat Asia 2025 e mostram o uso estratégico do GitHub e de ferramentas de código aberto como trampolim para comprometer empresas com alto valor estratégico.
Leia também
GenAI consegue empregos para Coreia do Norte
Apple notifica espionagem a usuários em 100 países
A campanha VENOM teve como alvo empresas de software que atuam nos níveis superiores do ecossistema de drones, enquanto a TIDRONE focou fornecedores de defesa e satélites. Ambas empregaram táticas de supply chain para comprometer sistemas confiáveis e escalar ataques a organizações maiores. As vítimas incluíam empresas em Taiwan e na Coreia do Sul, de setores como mídia, tecnologia, indústria pesada, satélites e saúde.
Inicialmente, o grupo utilizava ferramentas públicas para dificultar rastreamento. Já na TIDRONE, surgiram ferramentas próprias, como os backdoors CXCLNT e CLNTEND. O primeiro opera exclusivamente na memória, usando SSL/HTTPS para comunicação, enquanto o segundo ampliou a capacidade do grupo com suporte a múltiplos protocolos e técnicas de evasão, como injeção em dllhost.exe e shell por winword.exe.
Técnicas avançadas como o uso de APIs de fibras (SwitchToFiber, FlsAlloc) e Trojanes como o ScreenCap também foram identificadas, dificultando análise e detecção. O grupo reutilizou infraestrutura C2 nas duas campanhas, incluindo o domínio “fuckeveryday[.]life”, reforçando a atribuição a um operador no fuso GMT+8, alinhado a táticas já associadas ao grupo Dalbit.
Para mitigar riscos, especialistas recomendam ações como auditoria de fornecedores, verificação de integridade via SBOM, segmentação de rede, adoção de arquitetura Zero Trust e reforço em EDR e monitoramento comportamental.
