Spear-Phishing

Uma operação de espionagem cibernética sofisticada, conhecida como Operação HanKook Phantom, expôs usuários do Windows na Ásia e no Oriente Médio a uma ameaça avançada que utiliza PDFs e arquivos de atalho do Windows (LNK) como principais vetores de infecção. A campanha, descoberta por pesquisadores do Seqrite Lab, está ligada ao grupo patrocinado pelo Estado norte-coreano APT-37, famoso por ataques de spear-phishing. Os alvos incluem organizações governamentais, de defesa e acadêmicas, que recebem arquivos que aparentam ser boletins informativos legítimos, mas que contêm arquivos LNK maliciosos. Quando executados, esses arquivos não apenas abrem documentos, mas também extraem e executam cargas úteis maliciosas através do PowerShell. A operação se destaca pelo uso inovador de serviços de nuvem populares para comunicação de comando e controle, disfarçando o tráfego de exfiltração de dados como uploads normais de PDF. Essa abordagem minimiza a detecção por antivírus tradicionais e destaca a necessidade de monitoramento avançado por parte das organizações, especialmente em relação à atividade de arquivos LNK e tráfego anômalo em serviços de nuvem.

O grupo de ameaças ligado à China, Mustang Panda, tem se destacado como uma sofisticada organização de espionagem, visando governos, ONGs e think tanks nos EUA, Europa e Ásia. Desde sua identificação pública em 2017, suas operações, que provavelmente começaram em 2014, têm se concentrado na coleta de inteligência. As campanhas de spear-phishing do grupo utilizam narrativas geopolíticas e documentos em língua local como iscas para disseminar malware avançado, como PlugX e Poison Ivy. Em uma operação conjunta em 2025, autoridades dos EUA e da França neutralizaram variantes do PlugX que estavam sendo espalhadas por drives USB infectados, afetando mais de 4.200 dispositivos globalmente.