O grupo de hackers OceanLotus, amplamente identificado como APT32, iniciou uma campanha de vigilância altamente direcionada visando o ecossistema de TI “Xinchhuang” da China.
Este pivô estratégico centra-se em comprometer estruturas de hardware e software nacionais indigenizadas que foram especificamente concebidas para estabelecer ambientes de tecnologia da informação seguros e autossuficientes.
Ao explorar a arquitectura única destes sistemas nacionais, os actores da ameaça pretendem infiltrar-se em redes governamentais e industriais sensíveis que anteriormente eram consideradas protegidas contra a espionagem cibernética estrangeira.
Os invasores empregam uma abordagem multivetorial versátil, utilizando sofisticadas iscas de spearphishing adaptadas à arquitetura baseada em Linux dos terminais Xinchhuang.
#OceanLotus Segmentação de grupo O sistema indigenizado Xinchhuang (uma estrutura chinesa para construir ecossistemas de TI seguros e autossuficientes usando hardware e software nacionais).
1. Iscas de phishing com lança
Iscas de mesa
Arquivos de desktop em plataformas de inovação de TIC, semelhantes aos arquivos LNK em… pic.twitter.com/szpw2wooTn
– pássaro preto (@blackorbird) 8 de dezembro de 2025
Esses vetores incluem arquivos .desktop maliciosos que funcionam de forma semelhante aos atalhos do Windows, iscas de PDF que invocam documentos remotos via WPS Office e arquivos JAR que são executados diretamente em ambientes Java pré-instalados.
Isca de desktop (fonte – X)
Esses métodos de acesso inicial, muitas vezes disfarçados de avisos oficiais do governo, são meticulosamente projetados para contornar os controles de segurança padrão, combinando-se com fluxos de trabalho administrativos legítimos e formatos de arquivo comuns ao setor visado.
Os analistas de segurança da Blackorbird identificaram o malware após observarem um padrão distinto de comprometimento da cadeia de suprimentos nas redes afetadas.
Aproveitando suspeitas de falhas de dia zero
Sua pesquisa destaca como o grupo inicialmente tenta aplicar força bruta nos servidores de segurança interna antes de aproveitar vulnerabilidades suspeitas de dia zero para implantar scripts de atualização maliciosos em toda a infraestrutura.
Vulnerabilidade de arquivo Epub (Fonte – X)
Esse mecanismo de persistência permite que eles mantenham acesso furtivo e de longo prazo aos terminais Linux e Windows, transformando efetivamente atualizações internas confiáveis em um canal de distribuição para suas cargas de vigilância.
Uma técnica particularmente notável envolve a exploração da vulnerabilidade de N dias CVE-2023-52076 no Atril Document Viewer, um componente padrão em muitas distribuições direcionadas.
Os invasores distribuem um arquivo EPUB malicioso, como “Safety Office Inspection Work – Final Version.epub”, que aciona uma passagem de caminho crítico e uma falha arbitrária de gravação de arquivo ao abri-lo.
Essa exploração permite que o adversário ignore as restrições do sistema de arquivos e grave um mecanismo de persistência, especificamente um arquivo chamado desktop-service-7803.desktop, diretamente no diretório de inicialização automática do usuário, sem exigir privilégios elevados.
Simultaneamente, a exploração deposita um arquivo de carga criptografado, .icWpnBHQcOKa, no diretório oculto .config para evitar a detecção visual.
Quando o sistema é reinicializado ou o usuário faz login, a entrada maliciosa da área de trabalho é executada automaticamente, descriptografando a carga oculta e iniciando um downloader baseado em Python.
Isca JAR (Fonte – X)
Esse processo de infecção em vários estágios garante que o malware permaneça sem ser detectado pelas ferramentas de análise estática, ao mesmo tempo que estabelece uma base robusta e resiliente no ambiente visado para a exfiltração contínua de dados.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
