Uma nova campanha de ciberespionagem atribuída a hackers associados à China está explorando falhas em sistemas corporativos para atingir governos, organizações militares, jornalistas e ativistas em diferentes regiões do mundo. A operação combina exploração de vulnerabilidades conhecidas, malware avançado e ataques de phishing altamente direcionados.
Pesquisadores da Trend Micro identificaram o grupo responsável pela atividade como SHADOW-EARTH-053, ativo desde pelo menos dezembro de 2024. O principal método de invasão envolve a exploração de vulnerabilidades já conhecidas (N-days) em servidores expostos na internet, com destaque para plataformas como Microsoft Exchange e serviços baseados em Internet Information Services (IIS).
Após a invasão inicial, os atacantes instalam web shells, como o Godzilla, que permitem controle remoto contínuo dos sistemas comprometidos. Em seguida, a cadeia de ataque evolui para a implantação do backdoor ShadowPad, utilizando técnicas de DLL side-loading e executáveis legítimos assinados digitalmente para evitar detecção.
Em alguns casos, também foi explorada a vulnerabilidade React2Shell (CVE-2025-55182), utilizada para distribuir variantes do malware Noodle RAT em sistemas Linux, ampliando a capacidade de ataque em diferentes ambientes operacionais.
Para manter comunicação com servidores controlados pelos invasores, são utilizadas ferramentas legítimas e open source, como IOX, GOST e Wstunnel, além de técnicas de ofuscação com RingQ. A movimentação lateral dentro das redes comprometidas é realizada com ferramentas como Mimikatz e soluções como Sharp-SMBExec, permitindo escalonamento de privilégios e expansão do acesso.
Os principais alvos incluem países da Ásia — como Índia, Tailândia, Malásia, Sri Lanka, Taiwan e Paquistão — além da Polônia, membro da OTAN. O foco indica interesse em inteligência estratégica envolvendo governos e setores críticos.
Paralelamente, outras operações associadas aos grupos GLITTER CARP e SEQUIN CARP têm como alvo jornalistas, ativistas e organizações da sociedade civil, incluindo comunidades uigur, tibetana, taiwanesa e de Hong Kong.
Esses ataques utilizam engenharia social avançada, com e-mails que simulam comunicações legítimas de organizações internacionais e empresas de tecnologia. O objetivo é roubar credenciais, induzir cliques em links maliciosos ou capturar tokens de autenticação via aplicativos OAuth.
Entre as técnicas observadas estão pixels de rastreamento 1×1 para monitorar abertura de mensagens e kits de phishing do tipo AiTM (Adversary-in-the-Middle), capazes de interceptar credenciais e sessões em tempo real.
Especialistas apontam ainda a possível existência de uma estrutura descentralizada de operadores, com indícios de terceirização de atividades cibernéticas ofensivas em nome de interesses estatais.
O cenário reforça o crescimento de campanhas de espionagem digital sofisticadas e destaca a importância de medidas como atualização constante de sistemas, proteção de servidores expostos, uso de WAF e IPS, além de fortalecimento da segurança de identidade e conscientização contra phishing direcionado.
