Um grupo de hackers conhecido como Earth Minotaur está utilizando o kit de exploração MOONSHINE e um backdoor chamado DarkNimbus para realizar operações de vigilância contra comunidades tibetanas e uigures. A ameaça atinge dispositivos Android e Windows, explorando vulnerabilidades em navegadores baseados no Chromium, como o Google Chrome.

Segundo análise da Trend Micro, o MOONSHINE surgiu em 2019 e foi associado ao grupo POISON CARP, mas o Earth Minotaur parece ser independente, embora use uma versão aprimorada do kit. Essa versão explora a vulnerabilidade CVE-2020-6418 no mecanismo V8 do JavaScript, já corrigida pela Google. Os ataques começam com mensagens enganosas em aplicativos de mensagem como WeChat. Essas mensagens contêm links maliciosos que redirecionam vítimas para servidores do MOONSHINE, onde o DarkNimbus é instalado. 

Em dispositivos Android, o DarkNimbus substitui componentes do WeChat, possibilitando roubo de dados como contatos, mensagens, histórico de chamadas e geolocalização. O malware também pode capturar comandos de voz e abusar de permissões do sistema. Para Windows, o DarkNimbus tem menos funcionalidades, mas ainda coleta informações sensíveis como credenciais, dados do sistema e conteúdo da área de transferência.

Além disso, o MOONSHINE é capaz de realizar ataques de downgrade, enganando usuários com alertas falsos para instalar versões vulneráveis de navegadores. As campanhas afetam países como EUA, Índia, Alemanha e Japão, com disfarces que variam entre links relacionados a músicas ou danças típicas de tibetanos e uigures. A complexidade dos ataques e a sofisticação das ferramentas confirmam que o Earth Minotaur é um ator de ameaça avançado, embora sua origem ainda seja desconhecida.