🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Três grupos de atividades ameaçadoras alinhados com a China têm como alvo uma organização governamental no Sudeste Asiático como parte do que foi descrito como uma “operação complexa e com bons recursos”.
As campanhas levaram à implantação de várias famílias de malware, incluindo HIUPAN (também conhecido como USBFect, MISTCLOAK ou U2DiskWatch), PUBLOAD, EggStremeFuel (também conhecido como RawCookie), EggStremeLoader (também conhecido como Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, RawCookie, Hypnosis Loader e FluffyGh0st.
A atividade foi atribuída aos seguintes clusters -
Junho - agosto de 2025: Mustang Panda (também conhecido como Stately Taurus).
Março - setembro de 2025: CL-STA-1048, que se sobrepõe a clusters documentados publicamente sob os nomes Earth Estries e Crimson Palace.
Abril e agosto de 2025 - CL-STA-1049, que se sobrepõe a um cluster documentado publicamente conhecido como Unfading Sea Haze.
Cronograma de atividades
“Esses grupos de atividades se sobrepõem a campanhas divulgadas publicamente com o objetivo de estabelecer acesso persistente”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Doel Santos e Hiroaki Hara. “A sobreposição significativa em tácticas, técnicas e procedimentos (TTPs) com campanhas conhecidas alinhadas com a China sugere que os clusters e o grupo de ameaça têm um alvo de interesse comum, potencialmente coordenando os seus esforços”.
Cadeia de infecção de CL-STA-1048 26m
A atividade do Mustang Panda, registrada entre 1º de junho e 15 de agosto de 2025, envolveu o uso de um malware baseado em USB conhecido como HIUPAN para entregar o backdoor PUBLOAD por meio de uma DLL nociva de codinome Claimloader. O primeiro uso registrado do Claimloader pelo agente da ameaça remonta ao final de 2022, em ataques contra organizações governamentais nas Filipinas.
Análises adicionais da rede das vítimas revelaram a implantação do COOLCLIENT, outro backdoor conhecido atribuído ao Mustang Panda há mais de três anos. Ele suporta download/upload de arquivos, gravação de teclas digitadas, tunelamento de pacotes e captura de informações de mapas de portas.
As ferramentas usadas pelo CL-STA-1048 variam porque são barulhentas -
EggStremeFuel, um backdoor leve equipado para fazer download/upload de arquivos, enumerar arquivos e diretórios, iniciar ou encerrar um shell reverso, enviar o endereço IP global atual e atualizar a configuração C2.
EggStremeLoader, outro componente da estrutura de malware EggStreme lançada pela EggStremeFuel. Ele suporta 59 comandos backdoor para suportar roubo extensivo de dados. Isso inclui uma variante que facilita o download/upload de arquivos pelo Dropbox.
MASOL RAT (também conhecido como Backdr-NQ), um trojan de acesso remoto com download/upload de arquivos e recursos de execução de comandos arbitrários.
TrackBak, um ladrão de informações que coleta logs, dados da área de transferência, informações de rede e arquivos de unidades.
A atividade vinculada ao CL-STA-1049, por outro lado, envolve o uso de um novo carregador de DLL chamado Hypnosis Loader, que é iniciado via carregamento lateral de DLL, para finalmente instalar o FluffyGh0st RAT. O vetor de acesso inicial exato usado por CL-STA-1048 e CL-STA-1049 permanece obscuro.
"A convergência destes grupos de atividades, todos os quais mostram ligações com atores conhecidos alinhados com a China, aponta para um esforço coordenado para alcançar um objetivo estratégico comum", disse a Unidade 42. “A metodologia dos invasores indica que eles pretendiam obter acesso persistente e de longo prazo a redes governamentais confidenciais, e não apenas causar interrupções”.
As campanhas levaram à implantação de várias famílias de malware, incluindo HIUPAN (também conhecido como USBFect, MISTCLOAK ou U2DiskWatch), PUBLOAD, EggStremeFuel (também conhecido como RawCookie), EggStremeLoader (também conhecido como Gorem RAT), MASOL RAT, PoshRAT, TrackBak Stealer, RawCookie, Hypnosis Loader e FluffyGh0st.
A atividade foi atribuída aos seguintes clusters -
Junho - agosto de 2025: Mustang Panda (também conhecido como Stately Taurus).
Março - setembro de 2025: CL-STA-1048, que se sobrepõe a clusters documentados publicamente sob os nomes Earth Estries e Crimson Palace.
Abril e agosto de 2025 - CL-STA-1049, que se sobrepõe a um cluster documentado publicamente conhecido como Unfading Sea Haze.
Cronograma de atividades
“Esses grupos de atividades se sobrepõem a campanhas divulgadas publicamente com o objetivo de estabelecer acesso persistente”, disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Doel Santos e Hiroaki Hara. “A sobreposição significativa em tácticas, técnicas e procedimentos (TTPs) com campanhas conhecidas alinhadas com a China sugere que os clusters e o grupo de ameaça têm um alvo de interesse comum, potencialmente coordenando os seus esforços”.
Cadeia de infecção de CL-STA-1048 26m
A atividade do Mustang Panda, registrada entre 1º de junho e 15 de agosto de 2025, envolveu o uso de um malware baseado em USB conhecido como HIUPAN para entregar o backdoor PUBLOAD por meio de uma DLL nociva de codinome Claimloader. O primeiro uso registrado do Claimloader pelo agente da ameaça remonta ao final de 2022, em ataques contra organizações governamentais nas Filipinas.
Análises adicionais da rede das vítimas revelaram a implantação do COOLCLIENT, outro backdoor conhecido atribuído ao Mustang Panda há mais de três anos. Ele suporta download/upload de arquivos, gravação de teclas digitadas, tunelamento de pacotes e captura de informações de mapas de portas.
As ferramentas usadas pelo CL-STA-1048 variam porque são barulhentas -
EggStremeFuel, um backdoor leve equipado para fazer download/upload de arquivos, enumerar arquivos e diretórios, iniciar ou encerrar um shell reverso, enviar o endereço IP global atual e atualizar a configuração C2.
EggStremeLoader, outro componente da estrutura de malware EggStreme lançada pela EggStremeFuel. Ele suporta 59 comandos backdoor para suportar roubo extensivo de dados. Isso inclui uma variante que facilita o download/upload de arquivos pelo Dropbox.
MASOL RAT (também conhecido como Backdr-NQ), um trojan de acesso remoto com download/upload de arquivos e recursos de execução de comandos arbitrários.
TrackBak, um ladrão de informações que coleta logs, dados da área de transferência, informações de rede e arquivos de unidades.
A atividade vinculada ao CL-STA-1049, por outro lado, envolve o uso de um novo carregador de DLL chamado Hypnosis Loader, que é iniciado via carregamento lateral de DLL, para finalmente instalar o FluffyGh0st RAT. O vetor de acesso inicial exato usado por CL-STA-1048 e CL-STA-1049 permanece obscuro.
"A convergência destes grupos de atividades, todos os quais mostram ligações com atores conhecidos alinhados com a China, aponta para um esforço coordenado para alcançar um objetivo estratégico comum", disse a Unidade 42. “A metodologia dos invasores indica que eles pretendiam obter acesso persistente e de longo prazo a redes governamentais confidenciais, e não apenas causar interrupções”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #três #clusters #ligados #à #china #têm #como #alvo #o #governo #do #sudeste #asiático #na #campanha #cibernética #de #2025
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário