.
Na quinta -feira, pesquisadores da empresa de segurança Symantec relatado Em uma colaboração que funcionou de outra maneira-use o grupo de ransomware do RA World de um “conjunto distinto de ferramentas” que anteriormente era visto usado apenas em operações de espionagem por um grupo de ameaças ligado à China.
O conjunto de ferramentas, visto pela primeira vez em julho, foi uma variante do Plugx, um backdoor personalizado. Os registros de data e hora no conjunto de ferramentas eram idênticos aos encontrados pela empresa de segurança Palo Alto Network na variante Thor Plugx, que os pesquisadores da empresa vinculavam a um grupo de espionagem chinês rastreado sob os nomes de fogo, Mustang Panda e Earth Preta. A variante também tinha semelhanças com a variante Plux Tipo 2 encontrada pela empresa de segurança Trend Micro.
Ataques de espionagem adicionais envolvendo a mesma variante Plugx ocorreram em agosto, quando o invasor comprometeu o governo de um país do sudeste da Europa. Nesse mesmo mês, o atacante comprometeu um ministério do governo em um país do sudeste asiático. Em setembro de 2024, o atacante comprometeu um operador de telecomunicações naquela região e, em janeiro, o atacante alvejou um ministério do governo em outro país do sudeste asiático.
Os pesquisadores da Symantec têm teorias concorrentes sobre o motivo dessa colaboração:
Há evidências que sugerem que esse invasor pode estar envolvido no ransomware há algum tempo. Em um relatório sobre ataques mundiais de RA, Palo Alto disse que havia encontrado alguns vínculos com a Bronze Starlight (também conhecida como Imperador Dragonfly), um ator da China que implanta diferentes cargas úteis de ransomware. Uma das ferramentas usadas neste ataque de ransomware foi uma ferramenta proxy chamada NPS, criada por um desenvolvedor da China. Isso foi usado anteriormente pela Bronze Starlight. Enquanto isso, a SentineLone relatou que a Bronze Starlight estava envolvida em ataques envolvendo as famílias de Ransomware de Lock, Atomsilo, Nightsky e Lockbit.
Não está claro por que um ator que parece estar ligado a operações de espionagem também está montando um ataque de ransomware. Embora isso não seja incomum para os atores de ameaças norte-coreanos se envolverem em ataques de motivação financeira para subsidiar suas operações, não há história semelhante para atores de ameaças de espionagem sediada na China, e não há uma razão óbvia para que eles busquem essa estratégia.
Outra possibilidade é que o ransomware tenha sido usado para encobrir evidências da intrusão ou agir como um chamariz para afastar a atenção da verdadeira natureza dos ataques de espionagem. No entanto, a implantação de ransomware não foi muito eficaz em encobrir as ferramentas usadas na intrusão, particularmente aquelas que a ligam aos ataques anteriores de espionagem. Em segundo lugar, o alvo de ransomware não era uma organização estrategicamente significativa e era uma espécie de outlier em comparação com as metas de espionagem. Parece incomum que o atacante se esforce tanto para encobrir a natureza de sua campanha. Finalmente, o atacante parecia estar falando sério sobre a coleta de um resgate da vítima e parecia ter passado algum tempo correspondendo com eles. Normalmente, esse não seria o caso se o ataque de ransomware fosse simplesmente uma diversão.
O cenário mais provável é que um ator, possivelmente um indivíduo, estava tentando ganhar algum dinheiro ao lado usando o kit de ferramentas de seu empregador.
O relatório de terça-feira de Mandiant também observou o uso de malware patrocinado pelo Estado por grupos de crimes. Os pesquisadores da Mandiant também relataram observar o que eles acreditam que são grupos de motivos duplos que buscam ganho financeiro e acesso à espionagem.
.
