Apt41

Pesquisadores da Check Point Research alertaram sobre uma campanha de ciberespionagem, denominada ‘Silver Dragon’, que visa instituições governamentais na Europa e no Sudeste Asiático. O grupo hacker APT41, associado à China, utiliza um backdoor chamado GearDoor, que explora a API do Google Drive para roubar dados. Os atacantes empregam táticas de phishing, enviando documentos maliciosos que simulam comunicações oficiais. Após a instalação do malware, ele cria uma pasta na nuvem para ocultar suas atividades, enviando arquivos comuns para não levantar suspeitas. Além disso, o malware utiliza um sistema de monitoramento chamado SilverScreen para capturar imagens da tela das vítimas sem sobrecarregar o sistema. A operação se aproveita de recursos legítimos do Windows para garantir sua permanência e dificultar a detecção por redes governamentais. Essa situação representa um risco significativo para a segurança de dados sensíveis, especialmente considerando a crescente dependência de plataformas de armazenamento em nuvem por entidades governamentais.

Um novo ator de ameaças, denominado Amaranth Dragon, vinculado a operações patrocinadas pelo estado chinês APT41, tem explorado a vulnerabilidade CVE-2025-8088 no WinRAR para realizar ataques de espionagem direcionados a agências governamentais e de segurança. Os hackers utilizam ferramentas legítimas combinadas com um carregador personalizado, o Amaranth Loader, para entregar cargas úteis criptografadas a partir de servidores de comando e controle (C2) protegidos pela infraestrutura da Cloudflare, aumentando a precisão e a furtividade dos ataques. Pesquisadores da Check Point identificaram que o grupo tem como alvo organizações em países do Sudeste Asiático, como Cingapura, Tailândia e Filipinas. A vulnerabilidade permite que arquivos maliciosos sejam escritos em locais arbitrários no Windows, e desde meados de 2025, diversos grupos têm explorado essa falha em ataques zero-day. O Amaranth Dragon começou a explorar a falha em 18 de agosto de 2025, utilizando arquivos ZIP com scripts maliciosos e, posteriormente, aproveitando a vulnerabilidade para inserir scripts na pasta de inicialização do Windows. O grupo também implementou um novo RAT, o TGAmaranth, que utiliza um bot do Telegram para suas atividades de C2 e possui capacidades avançadas de evasão de detecção. Dada a exploração ativa da CVE-2025-8088, recomenda-se que as organizações atualizem para a versão mais recente do WinRAR para mitigar os riscos associados.

Em 2025, um novo conjunto de campanhas de espionagem cibernética, atribuído a atores de ameaças ligados à China, foi identificado, visando agências governamentais e de segurança na região do Sudeste Asiático. O grupo, denominado Amaranth-Dragon, está associado ao ecossistema APT 41 e tem como alvos países como Camboja, Tailândia, Laos, Indonésia, Cingapura e Filipinas. As campanhas foram estrategicamente sincronizadas com eventos políticos e de segurança locais, aumentando a probabilidade de que as vítimas interagissem com o conteúdo malicioso. Os ataques, que demonstram um alto grau de furtividade, exploraram uma vulnerabilidade específica (CVE-2025-8088) no WinRAR, permitindo a execução de código arbitrário. Os invasores utilizaram arquivos RAR maliciosos distribuídos via e-mails de spear-phishing, hospedados em plataformas de nuvem conhecidas para evitar detecções. O Amaranth Loader, um componente central dos ataques, foi projetado para estabelecer uma comunicação com servidores externos e executar cargas úteis de forma discreta. A infraestrutura de comando e controle (C2) é protegida e configurada para aceitar tráfego apenas de IPs dos países-alvo, evidenciando a sofisticação dos atacantes. Este cenário destaca a necessidade de vigilância contínua e de ações proativas por parte das organizações na região.

Um recente ataque a uma organização sem fins lucrativos nos Estados Unidos revelou um foco renovado de grupos de hackers alinhados ao Estado chinês em entidades que influenciam a política do governo americano. O ataque, que ocorreu ao longo de várias semanas em abril de 2025, destacou as táticas avançadas utilizadas por esses grupos, como APT41 e Kelp, que empregaram uma variedade de métodos para comprometer servidores vulneráveis. Os hackers utilizaram explorações conhecidas, como a injeção OGNL da Atlassian e a vulnerabilidade Log4j, para identificar e invadir sistemas.

O Comitê Selecionado da Câmara dos EUA sobre a China emitiu um alerta sobre uma série de campanhas de espionagem cibernética altamente direcionadas, supostamente ligadas à República Popular da China (RPC), em meio a negociações comerciais tensas entre os EUA e a China. As campanhas têm como alvo organizações e indivíduos envolvidos na política comercial e diplomática entre os dois países, incluindo agências governamentais dos EUA, empresas, escritórios de advocacia em Washington e grupos de reflexão. Os atacantes, identificados como APT41, usaram e-mails de phishing se passando pelo congressista republicano John Robert Moolenaar para enganar os destinatários e obter acesso não autorizado a sistemas e informações sensíveis. O objetivo final era roubar dados valiosos, utilizando serviços de software e nuvem para ocultar suas atividades. O ataque mais recente envolveu um e-mail que continha um anexo malicioso que, ao ser aberto, implantava malware para coletar dados sensíveis. O comitê acredita que essas ações são parte de uma operação de espionagem cibernética apoiada pelo estado chinês, visando influenciar as deliberações políticas dos EUA e obter vantagens nas negociações comerciais.

Autoridades federais dos Estados Unidos estão investigando um sofisticado ataque de malware que visou partes interessadas nas negociações comerciais entre os EUA e a China. Especialistas em cibersegurança associam a operação aos serviços de inteligência chineses. O ataque foi realizado por meio de um e-mail fraudulento que parecia ser enviado pelo representante John Moolenaar, presidente do Comitê Selecionado da Câmara sobre Competição Estratégica entre os EUA e o Partido Comunista Chinês. A mensagem maliciosa foi distribuída em julho para grupos comerciais, escritórios de advocacia e agências governamentais envolvidos nas discussões bilaterais. A campanha de phishing, atribuída ao grupo APT41, utilizou táticas de engenharia social, solicitando que os destinatários revisassem uma legislação proposta em um anexo. A abertura desse anexo poderia ter implantado malware, permitindo acesso extensivo à rede dos atacantes. A investigação, que envolve o FBI e a Polícia do Capitólio dos EUA, foi desencadeada após questionamentos sobre os e-mails suspeitos. A embaixada chinesa em Washington negou envolvimento, afirmando que a China se opõe a todos os tipos de ciberataques. A investigação continua ativa para determinar se os sistemas ou informações sensíveis foram comprometidos.