Um grupo de ameaças cibernéticas ligado à China, conhecido como APT17, tem sido observado atacando empresas e entidades governamentais italianas usando uma variante de um malware conhecido como 9002 RAT. Os dois ataques direcionados ocorreram em 24 de junho e 2 de julho de 2024, conforme análise publicada na semana passada.

“A primeira campanha, em 24 de junho de 2024, utilizou um documento do Office, enquanto a segunda campanha continha um link,” observou os pesquisadores. “Ambas as campanhas convidavam a vítima a instalar um pacote do Skype for Business a partir de um link de um domínio similar ao do governo italiano para transmitir uma variante do 9002 RAT.”

O APT17 foi documentado pela primeira vez pela Mandiant, de propriedade do Google, em 2013, como parte de operações de ciberespionagem chamadas DeputyDog e Ephemeral Hydra, que exploravam falhas zero-day no Internet Explorer da Microsoft para invadir alvos de interesse. O 9002 RAT, também conhecido como Hydraq e McRAT, ganhou notoriedade como a arma cibernética escolhida na Operação Aurora, que mirou no Google e outras grandes empresas em 2009. Foi subsequentemente usado em outra campanha de 2013, chamada Sunshop, na qual os atacantes injetaram redirecionamentos maliciosos em vários sites.

As cadeias de ataque mais recentes envolvem o uso de iscas de spear-phishing para enganar os destinatários a clicarem em um link que os instiga a baixar um instalador MSI para o Skype for Business (“SkypeMeeting.msi”). O 9002 RAT, um trojan modular, possui recursos para monitorar tráfego de rede, capturar capturas de tela, enumerar arquivos, gerenciar processos e executar comandos adicionais recebidos de um servidor remoto para facilitar a descoberta de rede, entre outros.