A Microsoft revelou recentemente que um grupo de ameaças chinês, conhecido como Storm-0940, está utilizando um botnet apelidado de Quad7, ou CovertNetwork-1658, para executar ataques avançados de pulverização de senha. Esses ataques têm como alvo organizações na América do Norte e Europa, incluindo think tanks, órgãos governamentais, ONGs e setores como defesa e jurídico. A técnica permite que os invasores testem diversas combinações de senha para obter acesso a contas e roubar credenciais de clientes da Microsoft, especialmente no Microsoft 365.

Atuando desde 2021, o Storm-0940 se aproveita de falhas em aplicativos e serviços de borda de rede para realizar ataques de força bruta e obter acesso inicial. O botnet Quad7 compromete dispositivos, como roteadores e VPNs de marcas como TP-Link, Zyxel, Asus e NETGEAR, explorando vulnerabilidades conhecidas e algumas ainda não reveladas para instalar um backdoor que escuta na porta TCP 7777. Isso permite que os dispositivos sejam usados para ataques adicionais sem o conhecimento do proprietário.

A empresa de cibersegurança Sekoia informou em setembro de 2024 que a infraestrutura do botnet é utilizada para ataques de força bruta em contas Microsoft 365, indicando um provável envolvimento de agentes estatais chineses. Segundo a Microsoft, o botnet envia um número reduzido de tentativas de login por dia, com cerca de 80% dos casos limitando-se a uma tentativa diária por conta, o que dificulta a detecção desses ataques. Apesar do uso limitado de dispositivos para pulverização de senha — cerca de 20% dos 8.000 dispositivos comprometidos na rede — o impacto permanece alto.

A Microsoft apontou ainda que, após a exposição pública das operações, houve um “declínio constante e acentuado” na atividade do botnet. No entanto, os operadores provavelmente estão criando novas infraestruturas para evitar detecção. A ameaça se intensifica com a rápida circulação de credenciais comprometidas, o que aumenta a probabilidade de invasões em redes de diversos setores e regiões. A Microsoft adverte que, com o uso da infraestrutura CovertNetwork-1658, os agentes têm maior chance de comprometer contas e explorar redes de maneira expansiva e ágil.