Hackers Chineses

Hackers chineses mantêm controle por 10 anos em rede crítica

Um grupo de hackers chineses conhecido como Velvet Ant comprometeu a infraestrutura crítica de uma grande organização, mantendo acesso por uma década. A operação, chamada de ‘Operation Highland’, começou em 2016, quando os atacantes exploraram sistemas vulneráveis expostos à internet antes de se infiltrar em uma rede isolada, sem conexão direta com a internet. A intrusão foi caracterizada pela instalação de um shell reverso modificado e um proxy SOCKS5, permitindo que os hackers se conectassem a sistemas internos. Além disso, eles substituíram módulos de autenticação do Linux por versões maliciosas, coletando credenciais de usuários e monitorando atividades administrativas. A complexidade da limpeza da rede comprometida foi elevada, pois a remoção dos componentes alterados poderia causar interrupções operacionais. Especialistas recomendam que as organizações tratem componentes de autenticação como ativos críticos e implementem medidas de segurança robustas, como autenticação multifatorial e monitoramento contínuo. A operação destaca a necessidade de vigilância constante e a importância de um plano de recuperação offline para mitigar riscos futuros.

Hackers chineses atacam o Notepad com nova backdoor

Pesquisadores da Rapid7 identificaram que o grupo de hackers conhecido como Lotus Blossom, vinculado ao governo chinês, é o responsável pelo ataque ao editor de códigos Notepad++. O ataque, que ocorreu no início de fevereiro de 2026, comprometeu o sistema de atualização do software, permitindo que downloads maliciosos fossem entregues aos usuários. A nova backdoor, chamada Chrysalis, foi utilizada para garantir acesso permanente ao sistema, sendo mais sofisticada do que um vírus comum. Embora não haja confirmação do número de vítimas, a Rapid7 publicou indicadores de possíveis infecções. O desenvolvedor do Notepad++, Don Ho, expressou confiança na análise da Rapid7, embora não tenha certeza sobre a origem do ataque. O método de ataque envolveu o uso de trojans através do instalador NSIS, uma técnica frequentemente utilizada por grupos maliciosos chineses. A análise também revelou semelhanças com ataques anteriores, mas não há certeza absoluta sobre os responsáveis. Este incidente destaca a crescente ameaça de ciberespionagem em setores críticos, como governo e telecomunicações, especialmente em regiões como o sudeste asiático e América Central.

Cisco corrige falha crítica explorada por hackers chineses

A Cisco anunciou a correção de uma vulnerabilidade crítica em seus roteadores, identificada como CVE-2025-20393, que permitia a execução remota de códigos no AsyncOS, afetando o Gateway de E-mail Seguro (SEG) e o Gerenciador Seguro de Web e E-mail (SEWM). A falha foi explorada por grupos de hackers chineses, incluindo UAT-9686, APT41 e UNC5174, durante pelo menos cinco semanas, desde novembro de 2025. Os atacantes conseguiram instalar mecanismos de persistência, como uma backdoor chamada Aquashell, que permitia o controle contínuo dos sistemas comprometidos. A Cisco recomenda que as organizações afetadas atualizem seus softwares imediatamente e contatem seu Centro de Assistência Técnica para suporte. Embora a empresa tenha corrigido a falha, não divulgou quantas instâncias foram comprometidas ou o número de organizações afetadas, o que levanta preocupações sobre a extensão do ataque e a segurança dos dados das vítimas.

Cibersegurança Backdoor BRICKSTORM é usado por hackers chineses

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou informações sobre um backdoor chamado BRICKSTORM, utilizado por grupos de hackers patrocinados pelo Estado da República Popular da China. Este malware, desenvolvido em Golang, é projetado para ambientes VMware vSphere e Windows, permitindo acesso remoto e persistente aos sistemas comprometidos. BRICKSTORM é capaz de executar uma variedade de funções, incluindo manipulação de arquivos e comunicação encoberta através de protocolos como HTTPS e DNS-over-HTTPS.

Hackers chineses buscam influenciar políticas do governo dos EUA

Um recente ataque a uma organização sem fins lucrativos nos Estados Unidos revelou um foco renovado de grupos de hackers alinhados ao Estado chinês em entidades que influenciam a política do governo americano. O ataque, que ocorreu ao longo de várias semanas em abril de 2025, destacou as táticas avançadas utilizadas por esses grupos, como APT41 e Kelp, que empregaram uma variedade de métodos para comprometer servidores vulneráveis. Os hackers utilizaram explorações conhecidas, como a injeção OGNL da Atlassian e a vulnerabilidade Log4j, para identificar e invadir sistemas.

Grupo de hackers chineses invade provedor de TI russo

Um grupo de hackers com vínculos à China, identificado como Jewelbug, foi responsável por uma invasão que durou cinco meses, visando um provedor de serviços de TI na Rússia. A atividade ocorreu entre janeiro e maio de 2025 e foi atribuída pela Symantec, que observou que o grupo também está relacionado a outras ameaças cibernéticas conhecidas. A invasão permitiu acesso a repositórios de código e sistemas de construção de software, possibilitando ataques à cadeia de suprimentos que poderiam afetar clientes na Rússia. Os atacantes utilizaram uma versão renomeada do Microsoft Console Debugger para executar código malicioso e contornar medidas de segurança. Além disso, foram observados esforços para exfiltrar dados para o Yandex Cloud. A atividade do Jewelbug destaca a continuidade das operações de espionagem cibernética da China, mesmo com o fortalecimento das relações entre Moscou e Pequim. O grupo também foi associado a uma intrusão em uma organização governamental na América do Sul, utilizando uma nova backdoor em desenvolvimento, o que demonstra suas capacidades em evolução. O uso de ferramentas legítimas e serviços em nuvem para ocultar suas atividades torna a detecção e resposta a esses ataques ainda mais desafiadoras.