Uma nova investigação conduzida pela Check Point Research revelou que grupos de hackers chineses estão explorando as tensões geopolíticas no Oriente Médio, particularmente o cenário do conflito iraniano, para orquestrar campanhas de ciberataques direcionadas. As organizações visadas incluem entidades militares e empresas da indústria de energia no Catar, com as operações maliciosas se intensificando em meio ao cenário de conflito regional.

De acordo com o relatório divulgado na segunda-feira (9), duas campanhas distintas foram identificadas, ambas aproveitando o conflito regional como uma isca eficaz para enganar as vítimas. O grupo conhecido como Camaro Dragon é apontado como o principal responsável por essas atividades nefastas. A metodologia empregada envolve a disseminação de links maliciosos camuflados em notícias falsas sobre a ofensiva em curso, atraindo a atenção de alvos estratégicos.

Uma das campanhas cibernéticas teve início um dia após o lançamento da Operação Epic Fury, conduzida pelos Estados Unidos e Israel. Nesta operação, os invasores utilizaram fotografias da destruição causada por mísseis iranianos nas proximidades de uma base no Bahrein para disseminar malware. Ao acessar o conteúdo da notícia falsa, as vítimas inadvertidamente iniciavam uma cadeia de infecção em seus sistemas. Pesquisadores de segurança observaram que essa tática não é inédita, tendo sido previamente identificada em dezembro do ano passado em ciberataques contra organizações militares na Turquia.

Em comunicado, a Check Point destacou a persistência do grupo. “Essa consistência sugere que o grupo mantém um foco mais amplo em alvos no Oriente Médio, com as operações agora se voltando para entidades no Catar, à medida que o atual cenário regional cria novas oportunidades de ataque”, afirmaram os especialistas. Essa adaptação estratégica sublinha a capacidade dos cibercriminosos de capitalizar eventos em tempo real para maximizar o impacto de suas operações.

A segunda campanha maliciosa focou especificamente em empresas dos setores de petróleo e gás do Catar. Neste caso, os cibercriminosos empregaram inteligência artificial para gerar conteúdo falso, que se passava por comunicações oficiais do governo de Israel, com o objetivo de invadir os dispositivos dos alvos. O código malicioso estava oculto em um arquivo compactado, que supostamente continha informações cruciais sobre os impactos da guerra na indústria energética, levando à instalação do Cobalt Strike.

Embora o Cobalt Strike seja uma ferramenta legítima, frequentemente utilizada para simulações de ataques e testes de penetração, seu uso malicioso pelos cibercriminosos permite um mapeamento abrangente da rede invadida. Este recurso é amplamente explorado para avaliar o ambiente de rede e determinar a viabilidade de ações mais profundas e destrutivas, concedendo aos atacantes um nível significativo de reconhecimento antes de prosseguir com explorações adicionais.

Diante da sofisticação e da natureza oportunista dessas ameaças, os especialistas em segurança cibernética enfatizam a necessidade de extrema cautela. Organizações e autoridades na região devem exercer vigilância redobrada ao lidar com anexos de e-mails, especialmente aqueles relacionados aos conflitos no Oriente Médio. Os e-mails foram identificados como o principal vetor de distribuição dos arquivos maliciosos em ambas as campanhas, destacando a importância de protocolos de segurança robustos e treinamento contínuo para os usuários.

Fonte: TECNOLOGIA – Tecmundo