Pesquisadores de cibersegurança descobriram uma sofisticada campanha de espionagem originária da China, visando infraestrutura crítica e entidades governamentais em múltiplos continentes. ### SHADOW-EARTH-053: Espionagem Através de Continentes A **Trend Micro** identificou o cluster de atividade de ameaça como **SHADOW-EARTH-053**, observando sua atividade desde pelo menos dezembro de 2024. O grupo compartilha sobreposições de rede com outros atores de ameaça conhecidos, incluindo CL-STA-0049, Earth Alux e REF7707. De acordo com os pesquisadores Daniel Lunghi e Lucas Silva, o grupo explora vulnerabilidades N-day em servidores **Microsoft Exchange** e Internet Information Services (**IIS**) expostos à internet, aproveitando vulnerabilidades como **ProxyLogon**. Em seguida, eles implantam web shells, como **Godzilla**, para acesso persistente e preparam implantes **ShadowPad** via DLL sideloading de executáveis legítimos assinados. Os alvos incluem Paquistão, Tailândia, Malásia, Índia, Mianmar, Sri Lanka e Taiwan, com a Polônia sendo a única nação europeia identificada. ### Cadeia de Ataque e Táticas A violação inicial envolve a exploração de falhas de segurança conhecidas para comprometer sistemas sem patches, seguida pela implantação de web shells como Godzilla para acesso remoto persistente. Esses web shells servem como um ponto de partida para execução de comandos, reconhecimento e a eventual implantação do backdoor ShadowPad via **AnyDesk**. O malware é lançado usando técnicas de DLL side-loading. Em um caso, a vulnerabilidade **React2Shell** (**CVE-2025-55182**) foi supostamente usada para distribuir uma versão Linux do **Noodle RAT** (também conhecido como ANGRYREBEL e Nood RAT). O **Google Threat Intelligence Group (GTIG)** associou essa cadeia de ataque específica a um grupo conhecido como UNC6595.  Ferramentas de tunelamento de código aberto como IOX, GO Simple Tunnel (GOST) e Wstunnel também são empregadas, juntamente com **RingQ** para empacotar binários maliciosos e evadir detecção. Para escalonamento de privilégios, **SHADOW-EARTH-053** utiliza **Mimikatz**, enquanto o movimento lateral é facilitado através de um lançador de protocolo de desktop remoto (RDP) personalizado e uma implementação em C# do SMBExec conhecida como [Sharp-SMBExec](https://github.com/checkymander/Sharp-SMBExec/). ### Estratégias de Mitigação "O principal vetor de entrada usado nesta campanha foram vulnerabilidades em aplicações IIS expostas à internet", declarou a Trend Micro. Eles recomendam priorizar a aplicação das atualizações de segurança mais recentes e patches cumulativos para Microsoft Exchange e quaisquer aplicações web hospedadas em IIS. Em casos onde o patching imediato não é possível, a implantação de Sistemas de Prevenção de Intrusão (IPS) ou Firewalls de Aplicação Web (WAF) com conjuntos de regras especificamente projetados para bloquear tentativas de exploit contra CVEs conhecidos é fortemente recomendada (Virtual Patching). ### GLITTER CARP e SEQUIN CARP Visam Ativistas e Jornalistas A **Citizen Lab** também relatou uma nova campanha de phishing por dois atores de ameaça distintos afiliados à China, visando jornalistas e sociedade civil, incluindo ativistas uigures, tibetanos, taiwaneses e da diáspora de Hong Kong. Essas campanhas foram detectadas em abril e junho de 2025. Os clusters são nomeados **GLITTER CARP**, que visou o International Consortium of Investigative Journalists (**ICIJ**), e **SEQUIN CARP**, cujo alvo principal foi a jornalista do ICIJ Scilla Alecci e outros jornalistas internacionais que escrevem sobre tópicos de interesse crítico para o governo chinês.  A Citizen Lab observa que os atores empregam esquemas sofisticados de personificação digital em e-mails de phishing, incluindo a personificação de indivíduos conhecidos e alertas de segurança de empresas de tecnologia. Apesar dos diferentes grupos visados, a atividade utiliza infraestrutura e táticas consistentes, reutilizando frequentemente os mesmos domínios e indivíduos personificados em múltiplos alvos. O **GLITTER CARP**, além de ataques de phishing em larga escala, foi associado a campanhas de phishing visando a indústria de semicondutores de Taiwan. O **SEQUIN CARP** compartilha semelhanças com um grupo rastreado pela **Volexity** como UTA0388 e um conjunto de intrusão detalhado pela Trend Micro como TAOTH. As campanhas visam obter acesso inicial a contas baseadas em e-mail através de coleta de credenciais, páginas de phishing ou engenharia social para enganar os alvos a conceder acesso a um token OAuth de terceiros. Os e-mails de phishing do GLITTER CARP também usam pixels de rastreamento 1x1 para coletar informações do dispositivo e confirmar se os e-mails foram abertos. A Citizen Lab observou o direcionamento simultâneo de organizações específicas usando o kit de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) e a entrega de HealthKick, indicando uma potencial sobreposição entre esses grupos, embora a relação exata permaneça incerta. A unidade de pesquisa conclui que a repressão transnacional digital opera cada vez mais através de uma rede distribuída de atores e os alvos se alinham com as prioridades de inteligência do governo chinês, sugerindo o envolvimento de entidades comerciais contratadas pelo estado chinês.