Acredita-se que um grupo de ameaças tenha ligações com as operações cibernéticas patrocinadas pelo Estado chinês, identificado como UNC5174, lançou uma campanha cibernética furtiva e tecnicamente avançada, com o objetivo de Linux e Mac OS ambientes.
De acordo com uma nova pesquisa publicado pela Sysdig, o grupo está utilizando uma forma revisada do malware SNOWLIGHT em combinação com uma ferramenta de acesso remoto de código aberto chamada VShell.
Armas de código aberto na espionagem moderna
Analistas de segurança da Sysdig observaram que o UNC5174 está implantando estrategicamente utilitários de código aberto para ocultar suas operações e reduzir a sobrecarga operacional. Ao imitar o comportamento de hackers independentes ou de criminosos cibernéticos de nível inferior, o grupo aumenta a dificuldade de atribuição direta.
Esta abordagem permite-lhes operar num contexto mais amplo, ecossistema mais barulhento, tornando-os mais difíceis de identificar e rastrear. O relatório também aponta que o UNC5174 não estava ativo publicamente há mais de um ano antes que esta campanha ressurgisse.
Fluxo de Ataque e Implantação de Malware
A campanha começa com a execução de um roteiro denominado download_backd.sh. Este script instala dois componentes principais: um está associado a uma variante SNOWLIGHT modificada (dnsloger), e o outro está relacionado ao kit de ferramentas de pós-exploração do Sliver (trabalhador_do_sistema). Esses elementos estabelecem a base para acesso persistente e comunicação com um servidor de controle remoto.
O SNOWLIGHT então inicia a entrega do VShell, um trojan residente na memória, solicitando-o à infraestrutura do invasor. A carga útil nunca é gravada no disco, permitindo que ele ignore muitos mecanismos de detecção tradicionais. Uma vez ativo, O VShell dá aos invasores a capacidade de executar comandos do sistema, transferir arquivos, e manter acesso de longo prazo por meio de canais de comunicação secretos, como WebSockets.
Ameaça entre plataformas: macOS também é alvo
Embora a operação tenha como alvo principal ambientes Linux, as evidências sugerem que o conjunto de malware também é capaz de comprometer sistemas macOS. Em outras palavras, isso parece ser um malware multiplataforma Operação.
Um exemplo inclui uma versão do VShell que foi disfarçada como um aplicativo de autenticação da marca Cloudflare. Esta compilação maliciosa foi enviada para o VirusTotal da China no final 2024, indicando a estratégia de segmentação mais ampla da campanha e os componentes de engenharia social.
UNC5174, também referido em alguns relatórios como Uteus ou Uetus, tem uma história de explorando vulnerabilidades de software amplamente utilizadas. Campanhas anteriores documentadas pela Mandiant, uma empresa de segurança cibernética de propriedade do Google, envolveu falhas de segmentação no Connectwise ScreenConnect e F5 BIG-IP. Essas operações também utilizaram o SNOWLIGHT para recuperar malware adicional, como o GOHEAVY, uma ferramenta de tunelamento baseada em Golang, e GOREVERSE, um utilitário de shell reverso baseado em SSH.
A agência nacional de segurança cibernética da França, ANSSI, destacou um padrão semelhante em ataques não relacionados que exploram vulnerabilidades no Cloud Service Appliance da Ivanti. Vulnerabilidades como CVE-2024-8963, CVE-2024-9380, e CVE-2024-8190 teriam sido usados em conjunto com tácticas de intrusão comparáveis às observadas nas operações UNC5174. A ANSSI também observou o uso frequente de ferramentas de hacking disponíveis publicamente, incluindo rootkits, como uma característica fundamental dessas campanhas.
Mais atividades de hackers chineses detectadas na natureza
Equipe T5, uma empresa de pesquisa de segurança cibernética sediada em Taiwan, atividade divulgada de forma independente semelhante aos métodos da UNC5174. De acordo com suas descobertas, atacantes explorou vulnerabilidades do Ivanti para distribuir uma nova cepa de malware chamada SPAWNCHIMERA. Esses incidentes afetaram alvos em quase 20 países, incluindo os EUA, Reino Unido, Japão, Cingapura, e Países Baixos, destacando a ampla presença internacional dessas operações cibernéticas.
Esta campanha ocorre enquanto a tensão entre a China e os Estados Unidos continua a aumentar. Em fevereiro 2025, As autoridades chinesas acusaram os EUA. Agencia de Segurança Nacional (NSA) de conduzir intrusões cibernéticas em massa durante os Jogos Asiáticos de Inverno. De acordo com o Centro Nacional de Resposta a Emergências de Vírus de Computador da China (CVERC), sobre 170,000 os ataques foram atribuídos aos EUA. durante uma janela de 20 dias, com incursões adicionais rastreadas em outras nações, incluindo a Alemanha, Coreia do Sul, e Cingapura.
As autoridades chinesas expressaram forte condenação, alegando que os ataques colocaram em risco setores de infraestrutura essenciais, como o financeiro, defesa, e comunicações públicas. O Ministério das Relações Exteriores alertou que as intrusões também correm o risco de comprometer os dados pessoais dos cidadãos chineses e a integridade dos sistemas nacionais..
conclusivos Pensamentos
Os pesquisadores da Sysdig enfatizam que este caso destaca como os agentes de ameaças avançadas estão cada vez mais explorando ferramentas de código aberto para mascarar suas afiliações. Ferramentas como VShell e SNOWLIGHT estão disponíveis gratuitamente e são amplamente utilizadas, permitindo que os invasores executem campanhas sofisticadas sob o disfarce de atividades cibercriminosas comuns. O resultado é uma ameaça altamente evasiva que combina furtividade, flexibilidade, e negação plausível.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: