Um grupo de ciberespionagem suspeito de vínculos com a China foi associado a ataques contra grandes provedores de serviços de TI na Europa do Sul, em uma campanha chamada Operação Digital Eye. Os ataques ocorreram entre junho e julho de 2024 e foram detectados e neutralizados antes de alcançar a fase de exfiltração de dados, conforme relatório conjunto das empresas SentinelOne SentinelLabs e Tinexta Cyber.

Os invasores abusaram do recurso legítimo Visual Studio Code Remote Tunnels, que permite acesso remoto a sistemas. Essa tática foi utilizada para estabelecer canais de comando e controle (C2), disfarçando atividades maliciosas como tráfego legítimo e dificultando sua detecção. Além disso, a infraestrutura de nuvem da Microsoft Azure foi empregada para reforçar o disfarce.

O ataque começou com injeções SQL em aplicativos voltados para a internet, utilizando a ferramenta SQLmap para explorar vulnerabilidades. Após o acesso inicial, os invasores implantaram um web shell chamado PHPsert para manter acesso persistente. Em seguida, realizaram reconhecimento, roubo de credenciais e movimentação lateral na rede por meio do RDP e técnicas como “pass-the-hash”, utilizando uma versão modificada do Mimikatz conhecida como mimCN.

A operação destaca como grupos APT chineses utilizam abordagens pragmáticas e ferramentas confiáveis para evitar detecção. Ao explorar ferramentas amplamente usadas, como o Visual Studio Code, os invasores disfarçam suas atividades maliciosas como operações legítimas, ampliando seu alcance de forma estratégica e silenciosa.