Na primavera de 2025, o grupo UTG-Q-015 executou uma operação cibernética de grande escala, batizada de Operação RUN, afetando centenas de ativos governamentais e corporativos na Ásia e em outras regiões. Os alvos incluíram sites blockchain, servidores bancários e governamentais, infraestrutura de inteligência artificial e sistemas de assinatura digital.
Leia também
Investimentos em cibersegurança devem ultrapassar US$ 1 tri
Pacote PyPi malicioso rouba credenciais de devs
O grupo foi identificado pela primeira vez em dezembro de 2024, após ataques a fóruns de desenvolvedores chineses. Desde então, passou a adotar técnicas mais sofisticadas, explorando falhas 0day e Nday. Em março, iniciou ataques de força bruta contra servidores web, seguidos pela instalação de Cobalt Strike e movimentação lateral com a ferramenta fscan após obtenção de credenciais.
A partir de abril, foi detectada a inserção massiva de scripts maliciosos em sites Web3 e plataformas de login. De acordo com a Qi’anxin, os malwares eram baixados de domínios disfarçados de atualizações oficiais. As vítimas recebiam alertas para instalar uma suposta ferramenta obrigatória, que instalava backdoors com capacidade de execução remota. GitLab, carteiras Bitcoin e sistemas de autenticação digital estão entre os sites comprometidos.
O setor financeiro foi alvo de uma campanha em três fases: invasão inicial por vulnerabilidade, envio de mensagens de phishing a funcionários com executáveis maliciosos e, por fim, ativação de cargas úteis via servidores previamente comprometidos.
Infraestruturas de IA em Linux também foram atacadas. Em fevereiro, uma falha no plug-in ComfyUI-Manager permitiu o carregamento de modelos maliciosos e ativou o backdoor Vshell. Em abril, foi usada a falha CVE-2023-48022 para invadir servidores de pesquisa e executar scripts adicionais.
Segundo analistas, o UTG-Q-015 atua no Sudeste Asiático, prestando serviços a entidades privadas e estatais da região. O grupo disputa espaço com adversários de língua chinesa envolvidos em espionagem cibernética, como os participantes das operações EviLoong e Giant. O ataque aos fóruns chineses em 2024 foi interpretado como uma resposta ideológica e estratégica.
A Operação RUN evidencia um novo padrão de agressividade e organização entre grupos cibernéticos da Ásia, onde os conflitos digitais refletem disputas comerciais e políticas cada vez mais entrelaçadas.
