Entre agosto de 2024 e fevereiro de 2025, o grupo de espionagem cibernética Lotus Panda, vinculado à China, comprometeu diversas organizações em um país não identificado do Sudeste Asiático. Os alvos incluíram um ministério governamental, uma organização de controle de tráfego aéreo, uma operadora de telecomunicações e uma empresa de construção.
- Leia também: Sites falsos do Google Chrome distribuem malware ValleyRAT por meio de sequestro de DLL
- Leia também: O RBI da Índia apresenta o domínio exclusivo “bank.in” para combater a fraude bancária digital
- Leia também: Microsoft identifica 3.000 chaves ASP.NET vazadas que permitem ataques de injeção de código
- Leia também: Ameaças de engenharia social alimentada por IA são reinventadas em 2025
Além disso, uma agência de notícias e uma empresa de transporte aéreo de países vizinhos também foram afetadas.
Ferramentas e Táticas Utilizadas
O Lotus Panda empregou diversas ferramentas personalizadas, incluindo carregadores de malware, ladrões de credenciais e uma ferramenta de SSH reverso. Notavelmente, eles utilizaram executáveis legítimos da Trend Micro (“tmdbglog.exe”) e da Bitdefender (“bds.exe”) para carregar DLLs maliciosas que, por sua vez, executavam cargas úteis adicionais.
Uma das ferramentas destacadas foi uma versão atualizada do Sagerunex, um backdoor exclusivo do grupo, capaz de coletar informações do sistema, criptografá-las e enviá-las para servidores controlados pelos atacantes. Além disso, os invasores utilizaram ladrões de credenciais, como o ChromeKatz e o CredentialKatz, para extrair senhas e cookies armazenados no navegador Google Chrome.
Técnicas de Evasão e Persistência
Para manter o acesso e evitar a detecção, o grupo empregou técnicas como o uso da ferramenta de compartilhamento peer-to-peer Zrok, permitindo acesso remoto a serviços internos. Outra ferramenta legítima utilizada foi o “datechanger.exe”, capaz de alterar carimbos de data/hora de arquivos, dificultando a análise forense.
Implicações para a Segurança Corporativa
Este caso destaca a sofisticação crescente dos ataques cibernéticos, especialmente aqueles que exploram ferramentas legítimas para fins maliciosos. Empresas devem reforçar suas defesas cibernéticas, implementando soluções de segurança que monitorem atividades suspeitas, mesmo aquelas que envolvem softwares confiáveis.
Se precisar de mais informações ou assistência para proteger sua infraestrutura digital, a Hostec está à disposição para ajudar! Clique aqui e faça um teste grátis durante 30 dias!
