O grupo de ciberespionagem Ink Dragon, associado à República Popular da China, tem vindo a expandir a sua atividade para redes governamentais europeias, revela a Check Point. Segundo a empresa, o Ink Dragon já não se limita a comprometer organizações para fins de espionagem pontual. Em vez disso, está a converter servidores comprometidos em nós de comunicação, utilizando as próprias vítimas como parte de uma infraestrutura distribuída de comando e controlo, capaz de suportar operações em múltiplos países e continentes.

Ativo pelo menos desde 2023, o Ink Dragon tem um historial de ataques a entidades governamentais, telecomunicações e infraestruturas públicas, inicialmente no Sudeste Asiático e na América do Sul. Nos últimos meses, a Check Point Research observou uma clara intensificação das campanhas na Europa, com vários incidentes confirmados em organismos governamentais europeus.
De acordo com a investigação da Check Point, o Ink Dragon continua a explorar falhas de configuração antigas e bem documentadas em servidores Microsoft IIS e SharePoint para obter acesso inicial. Após a intrusão inicial, o grupo move-se lateralmente, recolhe credenciais existentes e procura rapidamente alcançar privilégios de administrador de domínio, a partir dos quais consolida o controlo do ambiente.

A ESET divulgou o Threat Report referente às ciberameaças detetadas entre Junho e Novembro e entre os dados recolhidos sobressai o PromptLock, um ransomware alimentado por Inteligência Artificial que é capaz de gerar scripts maliciosos em tempo real.

Na análise ao cenário específico de ransomware, a ESET registou um aumento de vítimas de 40% em relação ao ano anterior. Akira e Qilin dominam o mercado de ransomware como serviço, enquanto o recém-chegado Warlock, de baixo perfil, introduziu técnicas inovadoras de evasão.
“Os burlões por trás dos esquemas de investimento Nomani também aperfeiçoaram as suas técnicas – observámos deepfakes de maior qualidade, sinais de sites de phishing gerados por IA e campanhas publicitárias cada vez mais curtas para evitar a deteção”, revela ainda Jiří Kropáč, diretor do ESET Threat Prevention Labs. Os esquemas fraudulentos da Nomani têm-se expandido recentemente da Meta para outras plataformas, incluindo o YouTube.
Pode consultar o relatório completo nesta página.

Os investigadores da ESET descobriram que o grupo PlushDaemon está a realizar ataques do tipo ‘man-in-the-middle’ utilizando um implante anteriormente não documentado para dispositivos de rede (por exemplo, um router). Este implante redireciona todas as consultas DNS para um servidor DNS externo malicioso que responde com o endereço de outro nó que realiza o sequestro de atualizações.

O implante foi batizado de EdgeStepper pela ESET e redireciona efetivamente o tráfego de atualizações de software para uma infraestrutura controlada pelos cibercriminosos com o objetivo de implantar os downloaders LittleDaemon e DaemonicLogistics em máquinas específicas e, por fim, distribuir o implante SlowStepper. Refira-se que o SlowStepper é um kit de ferramentas backdoor com dezenas de componentes usados para ciberespionagem. Estes implantes dão ao PlushDaemon a capacidade de comprometer alvos em qualquer lugar do mundo, explica a ESET em comunicado de imprensa.

Importa salientar que o PlushDaemon é um grupo cibercriminoso alinhado com a China, ativo desde pelo menos 2018, que se dedica a operações de ciberespionagem contra indivíduos e entidades nos Estados Unidos, Nova Zelândia, Camboja, Hong Kong, Taiwan e na própria China continental. Segundo a ESET, entre as suas vítimas já estiveram uma universidade em Pequim, uma empresa taiwanesa que fabrica produtos eletrónicos, uma empresa do setor automóvel e uma filial de uma empresa japonesa do setor industrial.

A confirmação chegou da própria Anthropic: hackers patrocinados pelo estado chinês recorreram ao Claude, o modelo de Inteligência Artificial da empresa, para automatizar cerca de 30 ataques a entidades governamentais e empresariais no mês de Setembro.

Segundo conta um responsável da Anthropic ao Wall Street Journal, a IA foi utilizada para automatizar entre 80 e 90% dos ataques. O humano só esteve envolvido em alguns pontos críticos, dando comandos como “Sim, continua” ou “Isso não parece correto, Claude, tens a certeza?”.

A Anthropic mostrou-se convicta do envolvimento do governo chinês na atividade e adianta que os hackers conseguiram roubar dados sensíveis a quatro vítimas, embora não revele os nomes das entidades afetadas.