Desde 2023, um grupo hacker vinculado à China, conhecido como Earth Lamia, tem realizado uma série de ataques cibernéticos contra organizações no Brasil, Índia e Sudeste Asiático. A operação se baseia principalmente em falhas de injeção de SQL em aplicativos web para comprometer servidores Microsoft SQL expostos à internet. Além disso, o grupo explora diversas vulnerabilidades conhecidas em servidores públicos, incluindo falhas críticas no SAP NetWeaver.

Entre os países mais visados estão Indonésia, Malásia, Filipinas, Tailândia e Vietnã. O grupo utiliza ferramentas como Cobalt Strike, Supershell, Rakshasa e Stowaway para espionagem, movimentação lateral e persistência nas redes das vítimas. Utilitários como GodPotato e JuicyPotato são empregados para escalonamento de privilégios, enquanto logs do Windows são apagados com o programa legítimo wevtutil.exe. Tentativas de implantar o ransomware Mimic foram registradas, principalmente na Índia, mas sem sucesso.

Em maio de 2025, foi revelado que o Earth Lamia explorou a falha CVE-2025-31324 no SAP para obter acesso remoto aos servidores-alvo. Outras vulnerabilidades exploradas incluem falhas em Apache Struts2, GitLab, WordPress, TeamCity, CyberPanel e Craft CMS. Inicialmente focado em instituições financeiras, o grupo passou a atacar setores de logística, varejo online, empresas de tecnologia, universidades e órgãos governamentais. Uma das táticas mais sofisticadas envolve o uso de backdoors personalizados, como o PULSEPACK, injetado via DLL side-loading. A versão mais recente, detectada em março de 2025, passou a usar comunicação via WebSocket, demonstrando evolução ativa da ferramenta.