Um grupo de hackers chineses de ameaças persistentes avançadas (APT), rastreado como Antlion, realizou campanhas contra instituições financeiras de Taiwan. Os ataques tiveram a duração de pelo menos 18 meses.

As invasões, cuja principal intenção era espionagem, resultaram na implantação de um backdoor personalizado, chamado xPack, que concedeu ao grupo chinês amplo controle sobre as máquinas comprometidas. As informações são de um relatório publicado pelo blog da Symantec, especializada em segurança cibernética e de propriedade da Broadcom.

O que se destacou na campanha dos hackers chineses foi a enorme quantidade de tempo que o agente da ameaça espionou as redes das vítimas. Dessa forma, os operadores tiveram em mãos uma ampla oportunidade de reconhecimento detalhado para extrair informações potencialmente confidenciais relacionadas a contatos comerciais e investimentos. Tudo sem levantar alertas.

250 dias em uma rede comprometida

Os detalhes de um ataque do grupo registrado pelos pesquisadores mostram que os hackers passaram 175 dias na rede comprometida. Dois outros ataques mostram que os invasores ficaram 250 dias na rede sem serem detectados.

publicidade

O uso de malware personalizado desconhecido para os analistas de ameaças desempenhou um papel fundamental para atingir esse nível de furtividade. O xPack é um carregador .NET que busca e executa cargas com padrão de criptografia avançada (AES), enquanto também é capaz de executar comandos do sistema e preparar dados para exfiltração.

De acordo com o relatório, os hackers também usaram carregadores personalizados baseados em C++, bem como uma combinação de ferramentas legítimas, como AnyDesk e técnicas de vida fora da terra (LotL) para obter acesso remoto, despejar credenciais e executar comandos. [LotL se refere a um ataque cibernético no qual os invasores usam software e funções legítimas disponíveis no sistema invadido para realizar ações maliciosas].

Taiwan no alvo do governo chinês

“Acredita-se que o [grupo] Antlion esteja envolvido em atividades de espionagem desde pelo menos 2011”, disseram os pesquisadores. Já a escolha atual de instituições financeiras de Taiwan como alvos dos hackers “não surpreende” a Symantec, que diz que os grupos apoiados pelo governo chinês tendem a se interessar por organizações dessa região”.

China e Taiwan não reconhecem mutuamente a legitimidade de seus governos. O Taiwan, cujo nome oficial é República da China, considera-se herdeiro do governo chinês antes da vitória dos comunistas, em 1949, e a China continental considera o Taiwan apenas um território rebelde. Em outras palavras: ambos dizem ser o real governo da China, incluindo o território alheio. A possibilidade de a China decidir invadir o país muito menor, mas apoiado pelo Ocidente, é a de um conflito severo e mundial.

As descobertas se somam a uma lista de grupos ligados à China que têm como alvo nos últimos meses à nação insular, segundo traz o site The Hacker News. Por exemplo, atividades cibernéticas maliciosas montadas pelos agentes de ameaças rastreados como Tropic Trooper e Earth Lusca atacando sites do governo, saúde, transporte e instituições educacionais de Taiwan e de outros países.

Leia também:

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!