Pesquisadores de cibersegurança identificaram o grupo hacker Earth Alux, ligado à China, operando na Ásia-Pacífico (APAC) e América Latina (LATAM), incluindo Brasil, Tailândia, Filipinas, Malásia e Taiwan. O grupo ataca setores estratégicos como governo, tecnologia, telecomunicações e varejo. Os ataques começam com a exploração de falhas em aplicativos web expostos à internet, permitindo a instalação do web shell Godzilla. A partir disso, são implantados os backdoors VARGEIT e COBEACON (versão do Cobalt Strike Beacon).

O VARGEIT carrega ferramentas diretamente do servidor de comando e controle (C&C) para processos do Microsoft Paint (“mspaint.exe”), permitindo espionagem e roubo de dados sem arquivos detectáveis. Ele também é usado para movimentação lateral e reconhecimento de redes. Já o COBEACON atua como um backdoor inicial, ativado por meio do MASQLOADER ou do RSBINJECT, um carregador de código baseado em Rust. Os hackers utilizam técnicas avançadas para evitar detecção, como bypass de API hooking, que elimina rastros monitorados por antivírus. Além disso, ferramentas como RAILLOAD e RAILSETTER garantem persistência no sistema, manipulando registros de tempo e criando tarefas automáticas para manter o acesso ao dispositivo.

Diferente de outros malwares, o VARGEIT se comunica com servidores C&C por 10 canais diferentes, incluindo HTTP, TCP, DNS e até Microsoft Outlook, trocando comandos via rascunhos de e-mails ocultos. Para manter seus ataques furtivos, o grupo testa regularmente suas ferramentas com ZeroEye (para encontrar DLLs vulneráveis) e VirTest (para verificar eficácia contra antivírus). Pesquisadores alertam que o Earth Alux representa uma ameaça sofisticada e crescente, evoluindo constantemente para evitar detecção e maximizar seus ataques na APAC e LATAM.