A equipe do Google Threat Analysis Group (TAG) informou que o grupo APT41, vinculado à China, usou a ferramenta Red Team de código aberto Google Command and Control (GC2) em um ataque contra uma organização de mídia taiwanesa não identificada.

O APT41, é um grupo de ciberespionagem ligado à China que está ativo desde pelo menos 2007. O ataque ocorreu em outubro de 2022, os agentes de ameaças enviaram e-mails de phishing que continham links para um arquivo protegido por senha hospedado no Drive. A

carga útil final foi a ferramenta GC2 escrita em Go, que obtém comandos do Planilhas Google e extrai dados para o Google Drive. Ao instalar o malware no sistema de destino, ele consulta o Planilhas Google para obter comandos do invasor.

O GC2 também permite que os operadores baixem arquivos adicionais do Drive para o sistema da vítima. Os pesquisadores destacaram algumas das principais tendências de ameaças de grupos APT ligados à China.

Primeiro, os agentes de ameaças chineses estão usando cada vez mais ferramentas disponíveis publicamente, como GC2. Em segundo lugar, a proliferação de ferramentas escritas na linguagem de programação Go devido à flexibilidade da linguagem que permite desenvolver software multiplataforma.

Por fim, o ataque contra a mídia taiwanesa mostra que os invasores também têm como alvo organizações do setor privado com vínculos limitados com o governo.