Uma campanha de ataques cibernéticos tem atingido diversas empresas no Japão desde janeiro de 2025, explorando uma vulnerabilidade crítica no PHP-CGI para obter acesso remoto a sistemas comprometidos. A falha, identificada como CVE-2024-4577, permite que invasores executem códigos maliciosos em servidores Windows rodando PHP, possibilitando o controle total dos dispositivos afetados. De acordo com um relatório da Cisco Talos, os ataques começaram com a exploração da vulnerabilidade para rodar scripts PowerShell, que por sua vez injetam cargas maliciosas da ferramenta Cobalt Strike.

Esse processo concede acesso remoto persistente aos invasores, permitindo movimentação lateral dentro das redes das vítimas. Os alvos incluem empresas dos setores de tecnologia, telecomunicações, entretenimento, educação e e-commerce, demonstrando a escala e abrangência da campanha maliciosa. Após o acesso inicial, os hackers utilizam diversas ferramentas de escalonamento de privilégios e persistência, incluindo JuicyPotato, RottenPotato e SweetPotato, além de modificações no Registro do Windows e criação de tarefas agendadas para garantir sua presença no sistema. Para evitar detecção, os criminosos apagam os logs de eventos usando o comando wevtutil, dificultando a análise forense dos ataques.

Além do roubo de credenciais e NTLM hashes, a investigação revelou que os servidores Command-and-Control (C2) dos invasores estavam abertos para listagem pública na internet, expondo todo o arsenal de ferramentas hospedado em servidores da Alibaba Cloud. Entre as ferramentas descobertas, estão o BeEF (Browser Exploitation Framework), utilizado para capturar credenciais e executar ataques dentro do navegador, o Viper C2, que facilita a execução de comandos remotos, e o Blue-Lotus, um framework de ataques XSS capaz de roubar cookies e comprometer sistemas CMS.