🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de ameaças patrocinado pelo Estado comprometeu dezenas de redes de entidades governamentais e de infraestruturas críticas em 37 países em operações à escala global denominadas “Campanhas Sombrias”.
Entre Novembro e Dezembro do ano passado, o actor também se envolveu em actividades de reconhecimento visando entidades governamentais ligadas a 155 países.
De acordo com a divisão Unit 42 da Palo Alto Networks, o grupo está ativo pelo menos desde janeiro de 2024 e há grande confiança de que opera na Ásia. Até que a atribuição definitiva seja possível, os pesquisadores rastreiam o ator como TGR-STA-1030/UNC6619.
A atividade das 'Campanhas Sombra' concentra-se principalmente em ministérios governamentais, aplicação da lei, controle de fronteiras, finanças, comércio, energia, mineração, imigração e agências diplomáticas.
Os investigadores da Unidade 42 confirmaram que os ataques comprometeram com sucesso pelo menos 70 organizações governamentais e de infraestruturas críticas em 37 países.
Isto inclui organizações envolvidas em políticas comerciais, questões geopolíticas e eleições nas Américas; ministérios e parlamentos em vários estados europeus; o Departamento do Tesouro na Austrália; e governo e infraestrutura crítica em Taiwan.
Países visados (acima) e compromissos confirmados (abaixo)Fonte: Unidade 42
A lista de países com organizações visadas ou comprometidas é extensa e centra-se em determinadas regiões com um calendário específico que parece ter sido impulsionado por eventos específicos.
Os pesquisadores dizem que durante a paralisação do governo dos EUA em outubro de 2025, o agente da ameaça demonstrou maior interesse em verificar entidades nas Américas do Norte, Central e do Sul (Brasil, Canadá, República Dominicana, Guatemala, Honduras, Jamaica, México, Panamá e Trinidad e Tobago).
Atividade de reconhecimento significativa foi descoberta contra "pelo menos 200 endereços IP que hospedam a infraestrutura do governo de Honduras" apenas 30 dias antes das eleições nacionais, já que ambos os candidatos indicaram vontade de restaurar os laços diplomáticos com Taiwan.
A Unidade 42 avalia que o grupo de ameaça comprometeu as seguintes entidades:
Ministério de Minas e Energia do Brasil
a rede de uma entidade boliviana associada à mineração
dois dos ministérios do México
uma infra-estrutura governamental no Panamá
um endereço IP que se localiza geograficamente em uma instalação da Venezolana de Industria Tecnológica
entidades governamentais comprometidas em Chipre, Chéquia, Alemanha, Grécia, Itália, Polônia, Portugal e Sérvia
uma companhia aérea indonésia
vários departamentos e ministérios do governo da Malásia
uma entidade policial da Mongólia
um importante fornecedor na indústria de equipamentos de energia de Taiwan
um departamento governamental tailandês (provavelmente para informações econômicas e de comércio internacional)
entidades de infra-estruturas críticas na República Democrática do Congo, Djibouti, Etiópia, Namíbia, Níger, Nigéria e Zâmbia
A Unidade 42 também acredita que o TGR-STA-1030/UNC6619 também tentou se conectar por SSH à infraestrutura associada ao Departamento do Tesouro da Austrália, ao Ministério das Finanças do Afeganistão e ao Gabinete do Primeiro Ministro e do Conselho de Ministros do Nepal.
Além destes compromissos, os investigadores encontraram evidências que indicam atividades de reconhecimento e tentativas de violação contra organizações noutros países.
Eles dizem que o ator escaneou a infraestrutura conectada ao governo tcheco (Exército, Polícia, Parlamento, Ministérios do Interior, Finanças, Relações Exteriores e o site do presidente).
O grupo de ameaças também tentou se conectar à infraestrutura da União Europeia , visando mais de 600 domínios de hospedagem IP *.europa.eu. Em julho de 2025, o grupo concentrou-se na Alemanha e iniciou ligações a mais de 490 endereços IP que alojavam sistemas governamentais.
Cadeia de ataque das Campanhas Sombrias
As primeiras operações dependiam de e-mails de phishing altamente personalizados enviados a funcionários do governo, com iscas geralmente fazendo referência aos esforços de reorganização interna do ministério.
Os e-mails incorporavam links para arquivos maliciosos com nomes localizados hospedados no serviço de armazenamento Mega.nz. Os arquivos compactados continham um carregador de malware chamado Diaoyu e um arquivo PNG de zero byte chamado pic1.png.
Amostra do e-mail de phishing usado nas operações das Campanhas SombraFonte: Unidade 42
O pesquisador da Unidade 42 descobriu que o carregador Diaoyu buscaria cargas úteis do Cobalt Strike e a estrutura VShell para comando e controle (C2) sob certas condições que equivalem a verificações de evasão de análise.
“Além do requisito de hardware de resolução de tela horizontal maior ou igual a 1440, a amostra realiza uma verificação de dependência ambiental para um arquivo específico (pic1.png) em seu diretório de execução”, dizem os pesquisadores.
Eles explicam que a imagem de zero byte atua como uma verificação de integridade baseada em arquivo. Na sua ausência, o malware termina antes de inspecionar o host comprometido.
Para evitar a detecção, o carregador procura o processo em execução
Entre Novembro e Dezembro do ano passado, o actor também se envolveu em actividades de reconhecimento visando entidades governamentais ligadas a 155 países.
De acordo com a divisão Unit 42 da Palo Alto Networks, o grupo está ativo pelo menos desde janeiro de 2024 e há grande confiança de que opera na Ásia. Até que a atribuição definitiva seja possível, os pesquisadores rastreiam o ator como TGR-STA-1030/UNC6619.
A atividade das 'Campanhas Sombra' concentra-se principalmente em ministérios governamentais, aplicação da lei, controle de fronteiras, finanças, comércio, energia, mineração, imigração e agências diplomáticas.
Os investigadores da Unidade 42 confirmaram que os ataques comprometeram com sucesso pelo menos 70 organizações governamentais e de infraestruturas críticas em 37 países.
Isto inclui organizações envolvidas em políticas comerciais, questões geopolíticas e eleições nas Américas; ministérios e parlamentos em vários estados europeus; o Departamento do Tesouro na Austrália; e governo e infraestrutura crítica em Taiwan.
Países visados (acima) e compromissos confirmados (abaixo)Fonte: Unidade 42
A lista de países com organizações visadas ou comprometidas é extensa e centra-se em determinadas regiões com um calendário específico que parece ter sido impulsionado por eventos específicos.
Os pesquisadores dizem que durante a paralisação do governo dos EUA em outubro de 2025, o agente da ameaça demonstrou maior interesse em verificar entidades nas Américas do Norte, Central e do Sul (Brasil, Canadá, República Dominicana, Guatemala, Honduras, Jamaica, México, Panamá e Trinidad e Tobago).
Atividade de reconhecimento significativa foi descoberta contra "pelo menos 200 endereços IP que hospedam a infraestrutura do governo de Honduras" apenas 30 dias antes das eleições nacionais, já que ambos os candidatos indicaram vontade de restaurar os laços diplomáticos com Taiwan.
A Unidade 42 avalia que o grupo de ameaça comprometeu as seguintes entidades:
Ministério de Minas e Energia do Brasil
a rede de uma entidade boliviana associada à mineração
dois dos ministérios do México
uma infra-estrutura governamental no Panamá
um endereço IP que se localiza geograficamente em uma instalação da Venezolana de Industria Tecnológica
entidades governamentais comprometidas em Chipre, Chéquia, Alemanha, Grécia, Itália, Polônia, Portugal e Sérvia
uma companhia aérea indonésia
vários departamentos e ministérios do governo da Malásia
uma entidade policial da Mongólia
um importante fornecedor na indústria de equipamentos de energia de Taiwan
um departamento governamental tailandês (provavelmente para informações econômicas e de comércio internacional)
entidades de infra-estruturas críticas na República Democrática do Congo, Djibouti, Etiópia, Namíbia, Níger, Nigéria e Zâmbia
A Unidade 42 também acredita que o TGR-STA-1030/UNC6619 também tentou se conectar por SSH à infraestrutura associada ao Departamento do Tesouro da Austrália, ao Ministério das Finanças do Afeganistão e ao Gabinete do Primeiro Ministro e do Conselho de Ministros do Nepal.
Além destes compromissos, os investigadores encontraram evidências que indicam atividades de reconhecimento e tentativas de violação contra organizações noutros países.
Eles dizem que o ator escaneou a infraestrutura conectada ao governo tcheco (Exército, Polícia, Parlamento, Ministérios do Interior, Finanças, Relações Exteriores e o site do presidente).
O grupo de ameaças também tentou se conectar à infraestrutura da União Europeia , visando mais de 600 domínios de hospedagem IP *.europa.eu. Em julho de 2025, o grupo concentrou-se na Alemanha e iniciou ligações a mais de 490 endereços IP que alojavam sistemas governamentais.
Cadeia de ataque das Campanhas Sombrias
As primeiras operações dependiam de e-mails de phishing altamente personalizados enviados a funcionários do governo, com iscas geralmente fazendo referência aos esforços de reorganização interna do ministério.
Os e-mails incorporavam links para arquivos maliciosos com nomes localizados hospedados no serviço de armazenamento Mega.nz. Os arquivos compactados continham um carregador de malware chamado Diaoyu e um arquivo PNG de zero byte chamado pic1.png.
Amostra do e-mail de phishing usado nas operações das Campanhas SombraFonte: Unidade 42
O pesquisador da Unidade 42 descobriu que o carregador Diaoyu buscaria cargas úteis do Cobalt Strike e a estrutura VShell para comando e controle (C2) sob certas condições que equivalem a verificações de evasão de análise.
“Além do requisito de hardware de resolução de tela horizontal maior ou igual a 1440, a amostra realiza uma verificação de dependência ambiental para um arquivo específico (pic1.png) em seu diretório de execução”, dizem os pesquisadores.
Eles explicam que a imagem de zero byte atua como uma verificação de integridade baseada em arquivo. Na sua ausência, o malware termina antes de inspecionar o host comprometido.
Para evitar a detecção, o carregador procura o processo em execução
#samirnews #samir #news #boletimtec #ator #estatal #visa #155 #países #em #operação #de #espionagem #campanhas #sombrias
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário