Pesquisadores da SentinelOne revelaram uma extensa campanha de espionagem cibernética atribuída a grupos ligados ao governo chinês, com mais de 70 organizações visadas entre julho de 2024 e março de 2025. As vítimas abrangem diversos setores, incluindo manufatura, governo, finanças, telecomunicações, pesquisa e mídia. Uma das alvos foi uma empresa de logística que prestava serviços à própria SentinelOne, o que levanta suspeitas sobre possíveis tentativas de acesso indireto à empresa de segurança cibernética.

As atividades foram atribuídas com alta confiança ao cluster de ameaças conhecido como PurpleHaze, associado a grupos já documentados como APT15 e UNC5174. A campanha incluiu desde reconhecimento em servidores expostos da SentinelOne até ataques com ferramentas avançadas como o backdoor GoReShell e o malware ShadowPad, ofuscado pela técnica ScatterBrain. Também foram utilizados softwares desenvolvidos originalmente por especialistas em segurança da equipe The Hacker’s Choice (THC), sendo esta a primeira vez que esses recursos são explorados por atores estatais.

A SentinelOne detectou seis padrões distintos de ataque, entre eles compromissos a uma entidade governamental do sul da Ásia e a uma grande organização de mídia europeia. Um dos vetores utilizados foi a exploração de vulnerabilidades críticas (CVE-2024-8963 e CVE-2024-8190) dias antes de sua divulgação pública, indicando acesso antecipado e alto grau de planejamento. Em alguns casos, os acessos foram repassados para outros grupos, evidenciando uma complexa rede de colaboração entre diferentes agentes de ameaças vinculados ao Estado chinês.