ISPs da China e da Costa Oeste dos Estados Unidos foram alvos de uma campanha massiva de ataques cibernéticos que utilizam força bruta para comprometer sistemas e, em seguida, instalar stealers de informações e mineradores de criptomoedas. A descoberta foi feita pela equipe de pesquisa da Splunk Threat Research, que identificou a atividade como parte de uma operação coordenada para infiltrar redes de provedores de internet e explorar recursos computacionais das máquinas comprometidas.

Os invasores, cuja identidade ainda é desconhecida, adotaram táticas discretas para evitar detecção, limitando ao máximo operações intrusivas, exceto nos casos em que exploraram contas já comprometidas. Segundo a Splunk, os criminosos se movimentam lateralmente dentro da rede utilizando principalmente ferramentas baseadas em linguagens de script como Python e PowerShell, aproveitando-se dessas linguagens para operar em ambientes com restrições e para se comunicar com servidores de comando e controle (C2), incluindo integração com a API do Telegram. O método inicial de invasão envolve ataques de força bruta, explorando credenciais fracas em serviços expostos. A origem desses ataques foi rastreada até IPs localizados na Europa Oriental.

Ao todo, mais de 4.000 endereços IP pertencentes a provedores de internet foram diretamente visados pela campanha. Uma vez dentro do sistema, os atacantes usam scripts em PowerShell para baixar e executar vários binários maliciosos, com funcionalidades que vão desde escaneamento de rede até roubo de informações sensíveis e mineração de criptomoedas via XMRig. Antes de iniciar a execução do minerador e outros payloads, os atacantes tomam medidas para desabilitar recursos de segurança e encerrar processos relacionados à detecção de criptominers. O stealer instalado nas máquinas comprometidas é capaz de capturar capturas de tela, além de funcionar como clipper, monitorando a área de transferência para capturar endereços de carteiras de criptomoedas, incluindo Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) e TRON (TRX). Essas informações são então exfiltradas para um bot no Telegram, usado como canal de comunicação e armazenamento de dados roubados. De acordo com a Splunk, a campanha se concentra principalmente em IPs pertencentes a provedores de infraestrutura de internet na Costa Oeste dos Estados Unidos e em redes de ISPs chineses.