**Ataques Cibernéticos Vinculados a Hackers Chineses Ameaçam Setores Estratégicos na Ásia-Pacífico**
Em recente descoberta pela Trend Micro, uma organização governamental em Taiwan e possivelmente outras instituições nos países da região Ásia-Pacífico (APAC) foram alvos de ataques cibernéticos de alta complexidade. Estes ataques são atribuídos ao grupo de hackers conhecido como Terra Baxia, supostamente originários da China.
Os ataques, detectados em julho de 2024, exploraram uma vulnerabilidade crítica no OSGeo GeoServer GeoTools, que havia sido corrigida recentemente. Segundo a equipe de pesquisadores composta por Ted Lee, Cyris Tseng, Pierre Lee, Sunny Lu e Philip Chen, os principais alvos parecem ser agências governamentais, companhias de telecomunicações e o setor de energia, estendendo-se por Filipinas, Coreia do Sul, Vietnã, Taiwan e Tailândia.
A Trend Micro também identificou materiais de phishing em chinês simplificado, o que sinaliza que a própria China pode estar entre os países afetados. No entanto, informações detalhadas sobre os setores impactados no país ainda não são claras.
Os métodos de infecção empregados pelos hackers envolvem várias etapas e se valem de e-mails de spear-phishing junto com a exploração da falha do GeoServer, identificada como CVE-2024-36401, para a entrada de malware como o Cobalt Strike e o backdoor batizado de EAGLEDOOR. Este último facilita a espionagem e a instalação de outros payloads maliciosos.
O EAGLEDOOR é particularmente notório por sua capacidade de se comunicar com seus operadores através de múltiplos protocolos – DNS, HTTP, TCP e até por meio da API do Telegram Bot. Além disso, utiliza o utilitário curl.exe para extrair os dados coletados das vítimas. Este método de ataque atesta a sofisticação dos criminosos envolvidos.
Relatórios da NTT Security Holdings, uma empresa japonesa de segurança cibernética, já haviam indicado atividades semelhantes por parte do grupo APT41, visando Taiwan, as forças armadas das Filipinas e organizações vietnamitas do setor energético. A sobreposição no uso dos domínios de comando e controle do Cobalt Strike sugere uma interligação entre os dois conjuntos de intrusões.
Os esforços contínuos da Terra Baxia para aprimorar seu arsenal e técnicas de ataque, utilizando inclusive serviços de nuvem pública como Amazon Web Services e Microsoft Azure para hospedar arquivos maliciosos, destacam a severa ameaça que o grupo representa para a segurança das informações globais.
Para acompanhar as atualizações e insights exclusivos sobre essas questões de segurança cibernética, a equipe de reportagem sugere seguir as redes sociais relevantes, como Twitter e LinkedIn, onde profissionais da área compartilham suas análises e desenvolvimentos em tempo real.