Entidades governamentais do sudeste da Ásia visadas pela porta dos fundos da vitória

Especialistas em segurança cibernética identificaram uma nova campanha de espionagem de crimes cibernéticos, que tem como alvo entidades diplomáticas e governamentais no Sudeste Asiático. Embora o autor do ataque ainda não tenha sido identificado, os especialistas relatam que provavelmente são originários da China, considerando o tipo de entidades que almejam, bem como o fato de terem usado o weaponizer RoyalRoad para criar arquivos RTF maliciosos. Além dessas duas descobertas, os pesquisadores também observaram que uma nova família de malware foi introduzida nesta campanha, o Victory Backdoor.

As vítimas foram abordadas por meio de e-mails de spear-phishing com o anexo RTF mencionado como arma. O que é surpreendente sobre o Victory Backdoor é que parece estar em desenvolvimento há muito tempo - as primeiras versões da carga útil foram compiladas há mais de três anos.

O objetivo do Victory Backdoor é fornecer às operadoras acesso persistente à rede comprometida, bem como extrair dados dela silenciosamente. Ele pode manipular arquivos, obter capturas de tela e coletar vários detalhes sobre a configuração de hardware e software do sistema comprometido. Os desenvolvedores do malware parecem ter prestado atenção extra à segurança da comunicação entre o implante e o servidor de controle - essas conexões são fortemente criptografadas e ofuscadas.

Até o momento, não houve informações suficientes para atribuir o desenvolvimento e uso do Victory Backdoor a um determinado ator chinês de Ameaça Persistente Avançada (APT), mas os pesquisadores têm grande confiança de que os criminosos estão de fato operando na China.