Grupo de Hackers Earth Estries Mira Indústrias Globais em Campanhas de Espionagem

Earth Estries, um grupo de hackers chinês, alvo de indústrias globais com malware avançado, explora vulnerabilidades e conduz espionagem de longo prazo em setores críticos.

Salt Typhoon recentemente ganhou atenção por uma campanha de espionagem ligada à China que comprometeu gigantes de telecomunicações dos EUA como Verizon, AT&T, Lumen Technologies e T-Mobile, conforme observado em The Record. Os invasores supostamente acessaram dados de chamadas de clientes, focando em indivíduos ligados a atividades governamentais ou políticas.

Na segunda-feira, a empresa de cibersegurança Trend Micro relatou outra campanha ligada ao Earth Estries, termo deles para Salt Typhoon, visando as telecomunicações do sudeste asiático com uma nova ferramenta de backdoor chamada GhostSpider.

O grupo chinês de ciberespionagem, Earth Estries, tem como alvo indústrias críticas em todo o mundo, incluindo setores de telecomunicações e governamentais, desde 2023.

O grupo infiltrou mais de 20 organizações nos EUA, Ásia-Pacífico, Oriente Médio e África do Sul, empregando técnicas avançadas para conduzir operações de espionagem de longo prazo. As vítimas também incluem empresas das indústrias de tecnologia, consultoria, química e transporte, bem como organizações sem fins lucrativos e agências governamentais.

Earth Estries explora vulnerabilidades em servidores de acesso público para obter acesso inicial, usando ferramentas de sistema legítimas, conhecidas como “binários de viver da terra”, para se moverem sem serem detectados nas redes.

Uma vez dentro, o grupo implanta programas maliciosos personalizados, como GHOSTSPIDER, SNAPPYBEE e MASOL RAT, para estabelecer controle e extrair informações sensíveis.

Ataques recentes revelaram que o GHOSTSPIDER, um backdoor modular, é projetado para carregar diferentes ferramentas para tarefas específicas, permitindo ao grupo adaptar suas táticas enquanto evita a detecção. As operações do grupo mostram um alto nível de coordenação, com diferentes equipes gerenciando aspectos específicos de suas campanhas.

Sobreposições em suas táticas, técnicas e procedimentos com outros grupos de hackers chineses sugerem ferramentas compartilhadas, possivelmente através de mercados clandestinos que oferecem malware como um serviço.

Investigações sobre Earth Estries destacaram seu foco em redes de telecomunicações e governamentais, muitas vezes visando sistemas de fornecedores para obter acesso indireto aos seus objetivos primários.

Em um caso, eles usaram o rootkit DEMODEX para comprometer máquinas pertencentes a um grande contratado de telecomunicações, permitindo que eles expandissem seu alcance sem serem detectados.

Os analistas observam que as operações da Earth Estries se estendem de dispositivos de borda a sistemas em nuvem, tornando-as particularmente difíceis de identificar e mitigar.

As técnicas deles incluem a exploração de vulnerabilidades do servidor e a implantação de ferramentas sofisticadas para manter a persistência dentro das redes de seus alvos. Especialistas alertam que as atividades do Earth Estries demonstram a crescente complexidade das campanhas de ciberespionagem.

As organizações são instadas a fortalecer suas defesas de cibersegurança, abordando vulnerabilidades conhecidas, monitorando a atividade da rede e implantando sistemas avançados de detecção de ameaças para detectar e bloquear ataques no início do processo.

A Trend Micro enfatiza a necessidade de medidas proativas à medida que a Earth Estries continua a evoluir suas estratégias, representando uma séria ameaça para as indústrias globais e governos.