Uma investigação da Symantec revelou que um ataque de ransomware RA World, ocorrido em novembro de 2024 contra uma empresa de software e serviços na Ásia do Sul, utilizou ferramentas associadas a grupos de espionagem cibernética chineses. Essa descoberta sugere que o agente de ameaça pode estar operando tanto em campanhas de espionagem quanto em ataques financeiros. O ataque envolveu o uso do malware PlugX (também chamado de Korplug), amplamente empregado pelo grupo chinês Mustang Panda. O método utilizado foi a técnica de “side-loading” de DLL, onde um executável legítimo da Toshiba (“toshdpdb.exe”) foi explorado para carregar uma DLL maliciosa (“toshdpapi.dll”), que então ativou o payload criptografado do PlugX.
Além desse ataque, a ferramenta também foi usada em incidentes anteriores contra ministérios de governo na Europa e na Ásia, além de uma operadora de telecomunicações. A invasão de novembro, no entanto, se destacou por ser parte de uma campanha de extorsão, culminando na criptografia dos sistemas da empresa vítima com o ransomware RA World. O invasor alegou ter explorado uma vulnerabilidade no software PAN-OS da Palo Alto Networks (CVE-2024-0012) para acessar a rede. Pesquisadores da Cisco Talos e Palo Alto Networks identificaram semelhanças táticas entre o RA World e o grupo chinês Bronze Starlight, conhecido por lançar famílias de ransomware de curta duração. A Symantec sugere que um agente individual pode estar conduzindo operações paralelas para obter ganhos financeiros, um fenômeno mais comum entre hackers iranianos e norte-coreanos do que na comunidade chinesa.
Em outro desenvolvimento, o grupo chinês Salt Typhoon foi associado a ataques que exploraram vulnerabilidades em dispositivos Cisco (CVE-2023-20198 e CVE-2023-20273), visando empresas de telecomunicações nos EUA, Reino Unido, África do Sul, Itália e Tailândia. O grupo comprometeu mais de 1.000 dispositivos Cisco globalmente entre dezembro de 2024 e janeiro de 2025, utilizando-os como pontos de entrada para espionagem e exfiltração de dados. A recomendação para mitigar esses ataques inclui a aplicação imediata de patches de segurança, evitar expor interfaces administrativas à internet e substituir dispositivos que chegaram ao fim da vida útil.
