Fantasmas na Máquina: A Invasão Silenciosa a Taiwan

Na dança silenciosa das sombras digitais, onde fronteiras são meras linhas de código e a soberania é defendida por firewalls, um novo ator emergiu do teatro de operações cibernéticas. Um grupo de ciberataque de língua chinesa, rastreado pela Cisco Talos como UAT-7237, foi identificado como o responsável por uma intrusão metódica em um provedor de hospedagem de sites em Taiwan. O objetivo, segundo o relatório da Talos, não era um simples ato de vandalismo digital, mas uma campanha calculada para extrair credenciais e estabelecer uma presença persistente e discreta na rede da vítima, com um interesse particular na sua infraestrutura de VPN e nuvem. Mas quem são esses novos fantasmas e o que suas ferramentas nos contam sobre a natureza da espionagem moderna?

Uma Assinatura Digital Distinta

Embora o mundo da cibersegurança esteja repleto de siglas e grupos de ameaças persistentes avançadas (APTs), o UAT-7237 se destaca por suas particularidades. A Cisco Talos acredita que este grupo, ativo desde pelo menos 2022, seja um subgrupo de outra equipe chinesa, a UAT-5918, que também tem como alvo a infraestrutura de Taiwan. No entanto, apesar das sobreposições com outros esquadrões apoiados por Pequim, como Volt Typhoon e Flax Typhoon, o UAT-7237 possui um modus operandi que justifica sua própria designação.

As diferenças são como as pinceladas de um artista, únicas em seu estilo. Enquanto o grupo principal UAT-5918 prefere o uso de shells reversos baseados em Meterpreter e tende a espalhar uma grande quantidade de web shells após o comprometimento, o UAT-7237 é mais seletivo. De acordo com os pesquisadores da Talos, Asheer Malhotra, Brandon White e Vitor Ventura, este grupo favorece o Cobalt Strike como seu implante de backdoor e instala apenas alguns web shells em pontos estratégicos. Além disso, seu método para manter o acesso é uma combinação de protocolo de desktop remoto (RDP) direto e o uso de clientes SoftEther VPN, uma tática que difere da dependência de web shells de seu grupo-irmão. Essa preferência pelo idioma chinês simplificado na configuração da VPN serviu como mais uma pista sobre sua origem.

O Arsenal Híbrido do Invasor

A verdadeira sofisticação do UAT-7237 reside em seu kit de ferramentas, uma mistura de software de código aberto e malware feito sob medida. Essa abordagem híbrida permite que eles operem com eficiência, utilizando ferramentas conhecidas pela comunidade e complementando-as com criações próprias para evitar a detecção.

  • SoundBill: A joia da coroa do seu arsenal customizado. Trata-se de um carregador de shellcode escrito em chinês e baseado no VTHello. Curiosamente, o SoundBill continha dois executáveis embutidos originários do QQ, um popular software de mensagens instantâneas chinês, provavelmente usados como arquivos de isca em ataques de phishing.
  • JuicyPotato: Uma ferramenta de escalonamento de privilégios popular entre hackers de língua chinesa. Com ela, o UAT-7237 consegue obter permissões mais elevadas nos sistemas comprometidos para executar comandos maliciosos.
  • SoftEther VPN: A chave para sua persistência. Ao instalar este cliente de VPN em um servidor remoto, o grupo garante uma porta dos fundos estável e de longo prazo para a rede da vítima, um feito que os pesquisadores rastrearam até um servidor criado em setembro de 2022 e usado pela última vez em dezembro de 2024.
  • Ferramentas de Reconhecimento e Exfiltração: O grupo também emprega um conjunto de utilitários para roubo de credenciais e varredura de rede. Ferramentas como Mimikatz são usadas para extrair senhas de endpoints infectados. Eles também utilizam um projeto do GitHub, o ssp_dump_lsass, para despejar a memória do Local Security Authority Service (LSASS) e roubar credenciais. Para o mapeamento da rede, o FScan é usado para procurar portas abertas e identificar informações do serviço SMB.

A Estratégia da Paciência e da Precisão

O ataque do UAT-7237 não foi impulsivo. Pelo contrário, seguiu um roteiro metódico. O ponto de entrada, segundo a Talos, são vulnerabilidades conhecidas em servidores desatualizados e expostos à internet. Uma vez dentro, eles não agem imediatamente. Primeiro, conduzem um reconhecimento silencioso para avaliar se a vítima possui algo de valor. Se a resposta for positiva, o próximo passo é estabelecer o acesso de longo prazo com o cliente SoftEther VPN.

Com a persistência garantida, a fase de expansão começa. Os invasores tentam alterar configurações e privilégios para permitir suas atividades, chegando a habilitar o armazenamento de senhas em texto claro. Usando as credenciais roubadas com ferramentas como Mimikatz, eles vasculham a rede em busca de outros sistemas acessíveis, realizando mais reconhecimento para ver se podem se mover lateralmente e aprofundar seu controle sobre a infraestrutura da vítima.

Este episódio transcende um simples incidente de segurança. Ele reflete a contínua e sombria guerra fria digital, travada não em campos de batalha, mas nos servidores que sustentam nossa realidade conectada. A existência de grupos como o UAT-7237 nos força a questionar a solidez de nossas próprias muralhas digitais. Quantos outros fantasmas já habitam nossas máquinas, não como falhas de sistema, mas como presenças deliberadas, esperando silenciosamente o momento de agir? A vigilância, ao que parece, é o preço eterno da liberdade digital.