Hackers chineses reutilizam falhas para espionagem

Hackers chineses reutilizam falhas conhecidas como armas globais de espionagem

Uma recente investigação conduzida pelas equipes da Symantec e da Carbon Black / Broadcom revelou uma campanha sofisticada atribuída a um ator de ameaça com ligação à China, que explorou falhas consideradas “antigas” — como CVE‑2022‑26134 (Atlassian), CVE‑2021‑44228 (Apache Log4j), CVE‑2017‑9805 (Apache Struts) e CVE‑2017‑17562 (GoAhead Web Server) para comprometer uma ONG norte-americana envolvida em políticas internacionais.
O que chama atenção neste caso é a persistência da exploração de vulnerabilidades já conhecidas — em alguns casos com vários anos de existência — e o seu uso como “arma estratégica” para espionagem, com alcance global e foco em infraestrutura de alto valor.

Modo de operação e cronologia da intrusão

De acordo com o relatório, a primeira atividade do invasor foi detectada em 5 de abril de 2025, consistindo em escaneamentos contra servidores da ONG-alvo. Em seguida, os invasores exploraram diversas vulnerabilidades para ganhar acesso inicial. Posteriormente executaram comandos no sistema Windows (como curl para testar conectividade e netstat para mapear rede) e configuraram tarefas agendadas para persistência usando o binário legítimo msbuild.exe, executando payloads maliciosos com privilégios SYSTEM.
As ferramentas utilizadas incluíram importação de DLLs maliciosas reutilizadas em outros ataques atribuídos aos grupos Space Pirates e Kelp (também conhecido como Salt Typhoon). Outra investigação da ESET indicou que grupos chineses correlatos têm operado em várias regiões (Ásia, Europa, América Latina e EUA) visando atingir governos, telecomunicações e infraestruturas críticas.
Embora não esteja claro o grau completo de sucesso da intrusão (nenhuma nova atividade foi relatada após 16 de abril de 2025), o uso de vulnerabilidades “velhas” demonstra que adversários persistem em estratégias de baixo custo e alto retorno.

Por que vulnerabilidades antigas continuam tão eficazes?

Uma série de fatores explica essa persistência:

• Muitos sistemas permanecem desatualizados ou sem patches, especialmente em organizações com menor maturidade de segurança, tornando vulnerabilidades divulgadas há anos ainda exploráveis.

• A reutilização de ferramentas e técnicas entre grupos de ameaça — modularização de payloads, compartilhamento de infraestrutura C2, ofuscação adaptada — permite que vetores antigos sejam recrudescidos com novas capacidades.

• As vulnerabilidades de “alto impacto” (como Log4j) possuem amplitude de alcance global e existem em múltiplas instâncias, o que as torna alvos permanentes até serem corrigidas ou substituídas.

• A estratégia de espionagem reforça que não é necessária a “novidade técnica” para comprometer alvos valiosos — sim, repetição, persistência e oportunidade.
  Esse fenômeno evidencia que o “tempo de vida útil” de uma vulnerabilidade, do ponto de vista de risco real, é muito mais longo do que imagina-se: a potencial exploração pode se estender por anos.

Implicações para segurança corporativa, governamental e de infraestruturas

Para organizações de todos os tipos, esse cenário impõe várias lições:

• Sistemas legados, dispositivos de rede, servidores auxiliares ou aplicações menos monitoradas (caso da ONG atacada) são alvos de série para adversários que procuram entradas “silenciosas”.

• A segmentação de rede, visibilidade integral, logs de tarefas agendadas e uso de binários comuns (como msbuild.exe) para persistência exigem monitoramento dedicado e correlação de eventos fora do padrão.

• Em ambientes de política, defesa, energia ou telecomunicações, a exploração de vulnerabilidades antigas pode permitir espionagem prolongada, coleta de dados e preparação para ações futuras de maior escala.

• A dependência de cadeias de fornecimento de software, virtualização ou aplicações de terceiros pode introduzir vulnerabilidades herdadas — o que reforça a necessidade de inventário, avaliação de risco e patching contínuo.

Recomendações práticas de mitigação e fortalecimento

• Realizar mapeamento completo e priorização de vulnerabilidades conhecidas com mais de 12 meses de publicação, verificando se aplicações internas, sistemas de controle ou aparelhos de rede continuam vulneráveis.

• Implementar políticas de patching ágil, com janelas mínimas para correção de vulnerabilidades classificadas como críticas; quando patches não estiverem disponíveis, aplicar mitigação compensatória (isolar, segmentar, monitorar).

• Ativar e revisar alertas de tarefas agendadas e execução de binários comuns com parâmetros incomuns ou em locais fora do padrão, bem como tráfego de saída não habitual.

• Segmentar ambiente para reduzir alcance lateral: intrusão inicial deve ficar restrita e detectável, evitando que ativos sensíveis sejam acessados a partir de compromissos periféricos.

• Investir em inteligência de ameaças: monitorar grupos de atuação chineses, infraestrutura C2 conhecida e sinais de persistência a longo prazo, e ser capaz de responder rapidamente a sinais de exfiltração.

• Auditar sistemas de rede, endpoints, servidores de ativação de software, ferramentas administrativas e processos de atualização — muitas vezes a falha está em “componente de rotina”.

Conclusão

O uso de vulnerabilidades antigas por atores chineses para realizar espionagem global demonstra que a defesa cibernética requer uma abordagem que vá além da “corrida ao zero-day”. A persistência adversária, a reutilização de vetores e a exploração de ativos não atualizados evidenciam que, em 2025, a segurança não está apenas em evitar “o próximo bug” — mas em manter visão operacional contínua, corrigir vulnerabilidades históricas, monitorar comportamento fora do padrão e tratar qualquer ativo envelhecido como potencial risco ativo. Organizações que desconsideram sistemas “legados” ou “menos críticos” o fazem sob seu próprio risco: o inimigo simplesmente busca brechas silenciosas para manter presença e extração ao longo de meses ou anos. A segurança eficaz, portanto, é tanto estratégica quanto operacional — atualizar, segmentar, monitorar e responder com continuidade.

Referências bibliográficas

• Caveira Tech. “Hackers chineses transformam falhas antigas em armas globais de espionagem”. Disponível em: https://caveiratech.com/post/hackers-chineses-transformam-falhas-antigas-em-armas-globais-de-espionagem-7324145 

• CNN Brasil. “EUA acusam China de promover mega ataque cibernético para roubo de dados”. Disponível em: https://www.cnnbrasil.com.br/internacional/eua-acusam-china-de-promover-mega-ataque-cibernetico-para-roubo-de-dados/