Google e Mandiant desmantelam campanha de espionagem global da China
O Google, por meio de seu Grupo de Inteligência de Ameaças (GTIG) e em parceria com a Mandiant, interrompeu uma campanha de espionagem global atribuída a um ator de ameaça suspeito de ser da China, que utilizava chamadas de API de SaaS para ocultar tráfego malicioso em ataques direcionados a redes de telecomunicações e governamentais. A campanha, que estava ativa desde pelo menos 2023, afetou 53 organizações em 42 países, com suspeitas de infecções em pelo menos 20 outros países. O vetor de acesso inicial é desconhecido, mas acredita-se que o grupo, identificado internamente como UNC2814, tenha explorado falhas em servidores web e sistemas de borda. A nova ferramenta utilizada, chamada ‘GRIDTIDE’, é um backdoor em C que abusa da API do Google Sheets para operações de comando e controle (C2) evasivas. O GRIDTIDE autentica-se em uma Conta de Serviço do Google usando uma chave privada codificada e realiza reconhecimento do host, coletando informações como nome de usuário e detalhes do sistema. Apesar de a Google não ter observado diretamente a exfiltração de dados, foi confirmado que o GRIDTIDE foi implantado em um sistema que continha informações pessoais sensíveis. A campanha foi desmantelada com a desativação de projetos do Google Cloud controlados pelo UNC2814 e a revogação do acesso à API do Google Sheets. Embora a interrupção tenha sido abrangente, espera-se que o grupo retome suas atividades em breve.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).