Hackers chineses UNC6384 usam certificados de assinatura para evitar detecção

BR Defense Center (By River de Morais e Silva)
ataque

Em março de 2025, o Google Threat Intelligence Group (GTIG) revelou uma campanha de espionagem cibernética sofisticada atribuída ao grupo de hackers UNC6384, vinculado à República Popular da China (RPC). O foco principal da campanha foram diplomatas e setores governamentais no Sudeste Asiático, mas também afetou organizações globais. Os hackers exploraram uma funcionalidade legítima dos navegadores para detectar portais cativos, utilizando ataques do tipo adversário-no-meio (AitM) em dispositivos comprometidos. Isso permitiu que os atacantes redirecionassem os usuários para uma infraestrutura controlada por eles, onde eram apresentados a uma página de atualização falsa que disfarçava um instalador de malware como uma atualização de plugin do Adobe. O malware, denominado STATICPLUGIN, foi entregue como um instalador assinado digitalmente, levantando questões sobre a origem do certificado utilizado. Após a execução, o STATICPLUGIN baixou um pacote MSI que continha um backdoor chamado SOGU.SEC, permitindo que os hackers exfiltrassem arquivos e executassem comandos remotamente. O GTIG destacou que as táticas de UNC6384 refletem uma tendência mais ampla da RPC em usar malware assinado digitalmente e técnicas de engenharia social para espionagem estratégica. O Google já tomou medidas para bloquear domínios maliciosos e revogar certificados abusados, alertando usuários afetados. A situação destaca a necessidade de uma vigilância constante e de uma reavaliação das práticas de segurança em relação a certificados digitais.

Fonte: https://cyberpress.org/unc6384-hackers/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
26/08/2025 • Risco: ALTO
ATAQUE

Hackers chineses UNC6384 usam certificados de assinatura para evitar detecção

RESUMO EXECUTIVO
A campanha de UNC6384 destaca a necessidade urgente de reavaliar as práticas de segurança em relação a certificados digitais, pois a confiança em HTTPS e assinaturas digitais não é mais um indicador confiável de legitimidade. A espionagem cibernética pode ter consequências graves para a segurança nacional e corporativa.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido à exfiltração de dados sensíveis e interrupção de operações.
Operacional
Exfiltração de dados e execução de comandos remotos.
Setores vulneráveis
['Governo', 'Diplomacia', 'Setor privado']

📊 INDICADORES CHAVE

Campanha direcionada a diplomatas e setores governamentais. Indicador
Uso de certificados digitais legítimos para disfarçar malware. Contexto BR
Bloqueio de domínios maliciosos e revogação de certificados pelo Google. Urgência

⚡ AÇÕES IMEDIATAS

1 Revisar logs de acesso e monitorar atividades suspeitas em sistemas críticos.
2 Implementar monitoramento rigoroso de certificados digitais e habilitar navegação segura.
3 Acompanhar continuamente indicadores de comprometimento e domínios maliciosos.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a evolução das táticas de ataque que utilizam certificados digitais legítimos, comprometendo a confiança em sistemas de segurança.

⚖️ COMPLIANCE

Implicações para a LGPD e a necessidade de proteger dados sensíveis.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).