Investigação revela operação APT que visa entidades governamentais europeias

Nos últimos dois meses, a Check Point Research tem vindo a acompanhar a atividade de um agente de ameaças sediado na China que visa entidades de política externa e interna, bem como embaixadas, na Europa.

Em conjunto com a atividade de outros grupos sediados na China, isto representa uma tendência maior no ecossistema chinês, apontando para uma mudança de alvo em direção a entidades europeias, com enfoque na sua política externa. Nesta campanha, para além do Reino Unido, a maioria dos países visados são países da Europa de Leste, como a Chéquia, a Eslováquia e a Hungria, e, de acordo com a investigação, o objetivo da campanha é obter informações sensíveis sobre as políticas externas desses países.

A atividade descrita no relatório utiliza HTML Smuggling para atingir entidades políticas na Europa, concentrando-se na Europa de Leste. Esta campanha específica está ativa desde, pelo menos, dezembro de 2022, e é provavelmente uma continuação direta de uma campanha atribuída à RedDelta (e, em certa medida, ao grupo Mustang Panda).

A campanha utiliza novos métodos de entrega para implementar (principalmente HTML Smuggling) uma nova variante do PlugX, normalmente associada a uma grande variedade de agentes de ameaças chineses. Embora a carga em si seja semelhante à encontrada nas variantes mais antigas do PlugX, os seus métodos de entrega resultam em baixas taxas de deteção e evasões bem-sucedidas, o que, até recentemente, ajudou a campanha a passar despercebida.