Um novo ataque de ciberespionagem vinculado a um grupo APT sul-coreano explorou uma vulnerabilidade inédita de execução remota de código (RCE) no WPS Office para Windows para implantar um backdoor personalizado. A campanha foi rastreada até o grupo APT-C-60, alinhado a Seul, e teve como alvo vítimas no Leste Asiático, utilizando o backdoor “SpyGlace”, conhecido por suas capacidades avançadas de ciberespionagem.

As vítimas foram levadas a clicar em uma planilha aparentemente legítima do WPS Office para Windows, que, ao ser aberta, desencadeava a exploração da vulnerabilidade. Com centenas de milhões de usuários ativos globalmente, especialmente no Leste Asiático, o WPS Office foi o veículo ideal para essa campanha. O documento envolvido era uma exportação no formato MHTML de uma planilha XLS comum, armada com um hiperlink oculto que, ao ser clicado, executava uma biblioteca maliciosa no aplicativo WPS Spreadsheet. O formato MHTML permite que um arquivo seja baixado automaticamente assim que o documento é aberto, viabilizando a execução remota de código (RCE).

Para explorar essa vulnerabilidade, os atacantes precisariam armazenar uma biblioteca maliciosa em um local acessível pelo computador da vítima e conhecer seu caminho de arquivo. Os desenvolvedores da exploração utilizaram técnicas avançadas para garantir o sucesso do ataque, baixando a biblioteca remota e armazenando-a no disco ao abrir o documento no WPS Spreadsheet.

A falha zero-day em questão (CVE-2024-7262) foi corrigida silenciosamente pelo desenvolvedor do WPS Office, Kingsoft. No entanto, descobriu-se que o problema não foi completamente solucionado, levando à descoberta de uma vulnerabilidade subsequente (CVE-2024-7263), que poderia permitir que hackers atingissem os mesmos objetivos por meio de validação inadequada de entradas.