A SentinelOne revelou uma campanha de espionagem cibernética conduzida por um grupo ligado à China, identificado como PurpleHaze, que tentou mapear a infraestrutura da empresa e de clientes estratégicos. A atividade foi detectada em 2024, após uma invasão a uma organização terceirizada que prestava serviços de logística de hardware para funcionários da SentinelOne. O PurpleHaze tem laços com o grupo APT15 (também conhecido como Flea ou Vixen Panda) e já havia sido observado atacando uma entidade governamental do Sul da Ásia, utilizando uma backdoor em Go chamada GoReShell, que cria conexões reversas via SSH.

A operação fez uso de redes ORB, infraestruturas flexíveis que dificultam o rastreamento das campanhas. Essa mesma entidade asiática foi alvo anteriormente de um ataque com a conhecida backdoor ShadowPad, usada por vários grupos ligados à China. A ShadowPad, ofuscada com o compilador personalizado ScatterBrain, foi detectada em ataques a mais de 70 organizações dos setores industrial, financeiro, governamental e de telecomunicações, explorando falhas em dispositivos da CheckPoint.

Além da China, a SentinelOne identificou tentativas de trabalhadores de TI ligados à Coreia do Norte de se infiltrar na empresa, inclusive na equipe do SentinelLabs, utilizando cerca de 360 identidades falsas e mais de mil candidaturas de emprego. A empresa também foi visada por operadores de ransomware que buscam analisar e contornar as defesas de seus sistemas. Uma prática crescente inclui o “EDR Testing-as-a-Service”, que permite testar malwares contra soluções de segurança em ambientes isolados. Um dos grupos mais avançados nessa prática é o Nitrogen, possivelmente russo, que usa engenharia social para se passar por revendedores legítimos e adquirir licenças reais de ferramentas de segurança, explorando falhas nos processos de verificação dessas empresas.