Threats
O grupo, identificado como Fire Ant, utiliza táticas sofisticadas para comprometer a infraestrutura de virtualização e obter acesso persistente a ambientes restritos e segmentados
29/07/2025
|
Um grupo de ciberespionagem ligado à China, identificado como Fire Ant, tem conduzido uma sofisticada campanha de ataques visando vulnerabilidades críticas em produtos da VMware e F5 Networks, segundo a empresa de cibersegurança Sygnia. Esta operação furtiva destaca a crescente complexidade das ameaças em ambientes virtualizados e o papel crescente da Inteligência Artificial (IA) na defesa contra ciberataques avançados. O grupo tem como alvo infraestruturas de virtualização e redes empresariais segmentadas, comprometendo sistemas para obter acesso privilegiado e persistente a ambientes sensíveis. Uma das principais características da campanha é a exploração de vulnerabilidades como a CVE-2023-34048 (vCenter Server) e a CVE-2023-20867 (ESXi), permitindo acesso remoto e controlo direto de sistemas convidados a partir do hipervisor. “A Sygnia observou níveis elevados de resiliência operacional. O Fire Ant adaptou-se ativamente a medidas de contenção, substituindo ferramentas, instalando backdoors redundantes e manipulando redes para manter o acesso”, revelou a empresa em comunicado. Os atacantes utilizaram credenciais extraídas automaticamente (como a conta de serviço “vpxuser”) para se moverem lateralmente em ambientes virtualizados, utilizando canais host-convidado e explorando falhas de autenticação para interagir com máquinas virtuais. Este nível de intrusão representa um desafio particular para equipas de cibersegurança que dependem de soluções tradicionais. Além da camada de virtualização, o Fire Ant foi também visto a comprometer balanceadores de carga F5, explorando a vulnerabilidade CVE-2022-1388 para introduzir webshells e criar túneis entre redes isoladas, contornando a segmentação de segurança e expandindo o acesso a sistemas internos. A sofisticação técnica dos ataques, incluindo o conhecimento detalhado da arquitetura das redes alvo e a utilização de malware como o backdoor VirtualPita, levou os analistas da Sygnia a traçar paralelismos diretos com o grupo UNC3886, anteriormente atribuído a campanhas de espionagem cibernética apoiadas por entidades estatais. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
Microsoft corrige falha zero-day explorada no Windows no Patch Tuesday
THREATS
Ciberespionagem atinge novo patamar de sofisticação
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
