Governos e empresas de telecomunicações no Sudeste Asiático estão sendo alvos de uma campanha sofisticada conduzida pelo grupo APT Earth Kurma desde junho de 2024. Pesquisadores de cibersegurança informam que o grupo utiliza malware personalizado, rootkits e serviços de nuvem como Dropbox e OneDrive para roubo de dados em países como Filipinas, Vietnã, Tailândia e Malásia. As atividades do Earth Kurma começaram em 2020 e envolvem ferramentas como TESDAT, SIMPOBOXSPY e rootkits como KRNRAT e Moriya, este último já utilizado em campanhas de espionagem como TunnelSnake.

Apesar de semelhanças com o grupo ToddyCat, os pesquisadores afirmam que a atribuição definitiva ainda é incerta. Ainda não se sabe como os atacantes obtêm o acesso inicial aos sistemas. Após a invasão, são usadas ferramentas como NBTSCAN, Ladon, FRPC e WMIHACKER para movimentação lateral, além do keylogger KMLOG para roubo de credenciais. A permanência nos sistemas é garantida por loaders como DUNLOADER, TESDAT e DMLOADER, que implantam cargas adicionais como Cobalt Strike Beacons e rootkits.

O Earth Kurma se destaca pelo uso de técnicas “living-off-the-land”, explorando componentes legítimos como syssetup.dll para instalar malware e dificultar a detecção. Moriya analisa pacotes TCP para injetar shellcode, enquanto KRNRAT combina projetos open-source para manipular processos, ocultar arquivos e se comunicar com servidores de comando. Antes da exfiltração, documentos como PDFs, planilhas e apresentações são coletados em uma pasta “tmp” e comprimidos com senha usando WinRAR. O SIMPOBOXSPY envia esses arquivos para o Dropbox, enquanto o ODRIZ realiza uploads para o OneDrive. Pesquisadores de cibersegurança alertam que o Earth Kurma permanece ativo, adaptando ferramentas às vítimas e reutilizando códigos de campanhas anteriores para manter sua presença de forma furtiva e persistente.