Investigação da Check Point Research revela operação APT sediada na China que visa entidades governamentais europeias

Investigação da Check Point Research revela operação APT sediada na China que visa entidades governamentais europeias

· A Check Point Research revela uma campanha direcionada conduzida por um agente de ameaças chinês que visa entidades governamentais europeias

· A campanha utiliza o HTML Smuggling, uma técnica em que os atacantes escondem cargas maliciosas em documentos HTML.

· A campanha, denominada SmugX, sobrepõe-se à atividade anteriormente relatada pelos agentes APT chineses RedDelta e Mustang Panda.

Nos últimos dois meses, a Check Point Research (CPR), equipa de investigação da Check Point Software Technologies Ltd., fornecedor líder em soluções de cibersegurança para empresas e governos a nível mundial, tem vindo a acompanhar a atividade de um agente de ameaças sediado na China que visa entidades de política externa e interna, bem como embaixadas na Europa.

Em conjunto com a atividade de outros grupos sediados na China, anteriormente reportada pela Check Point Research, isto representa uma tendência maior no ecossistema chinês, apontando para uma mudança de alvo em direção a entidades europeias, com enfoque na sua política externa. Nesta campanha, para além do Reino Unido, a maioria dos países visados são países da Europa de Leste, como a República Checa, a Eslováquia e a Hungria, e, de acordo com a avaliação da CPR, o objetivo da campanha é obter informações sensíveis sobre as políticas externas desses países.

A atividade descrita neste relatório utiliza o contrabando de HTML para atingir entidades políticas na Europa, concentrando-se na Europa de Leste. O contrabando de HTML é uma técnica em que os atacantes escondem cargas maliciosas dentro de documentos HTML.

Esta campanha específica está ativa desde, pelo menos, dezembro de 2022, e é provavelmente uma continuação direta de uma campanha anteriormente comunicada, atribuída à RedDelta (e, em certa medida, ao grupo Mustang Panda).

A campanha utiliza novos métodos de entrega para implementar (principalmente - contrabando de HTML) uma nova variante do PlugX, normalmente associada a uma grande variedade de agentes de ameaças chineses. Embora a carga em si seja semelhante à encontrada nas variantes mais antigas do PlugX, os seus métodos de entrega resultam em baixas taxas de deteção e evasões “bem-sucedidas", o que, até recentemente, ajudou a campanha a passar despercebida.

A forma como o contrabando de HTML é utilizado na campanha de e-mail SmugX resulta no download de um ficheiro JavaScript ou ZIP. Isto leva a uma longa cadeia de infeção que resulta na infeção PlugX da vítima.

Atração e Alvo

Os temas usados para atrair os alvos identificados pela nossa equipa estão fortemente centrados nas políticas internas e externas europeias - entidades governamentais - e foram utilizados para visar sobretudo entidades governamentais da Europa Central e Oriental. No entanto, outros países da Europa Ocidental também foram referidos.

A maioria dos documentos continha conteúdos de caráter diplomático. Em mais do que um caso, o conteúdo estava diretamente relacionado com a China e os direitos humanos na China.

Além disso, os próprios nomes dos ficheiros arquivados sugerem fortemente que as vítimas visadas eram diplomatas e funcionários públicos destas entidades governamentais. Eis alguns exemplos dos nomes identificados pela CPR:

· “Draft Prague Process Action”

· “2262_3_PrepCom_Proposal_next_meeting_26_April”

· “Comments FRANCE - EU-CELAC Summit - May 4”

· “202305 Indicative Planning RELEX”

· "China prende dois advogados de direitos humanos por subversão"

Nesta investigação, a CPR analisou uma campanha recente que está a destacar a mudança da APT chinesa para o ataque persistente a entidades governamentais europeias. Identificámos várias cadeias de infeção que utilizam a técnica de contrabando de HTML, que leva à implementação do PlugX.

A campanha, apelidada de "SmugX", faz parte de uma tendência mais ampla que a CPR está a analisar de agentes de ameaças chineses que estão a mudar o seu foco para entidades europeias, em particular as entidades governamentais. Por isso, continuará a monitorizar as tendências e a informar sobre as mesmas.

No entanto, os clientes da Check Point Software permanecem protegidos contra a ameaça descrita neste estudo. O Check Point Threat Emulation e o Harmony Endpoint proporcionam uma cobertura abrangente das táticas de ataque, tipos de ficheiros e sistemas operativos e protegem contra o tipo de ataques e ameaças descritos.