{"id":23489,"date":"2025-11-15T08:00:00","date_gmt":"2025-11-15T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23489"},"modified":"2025-11-09T22:49:50","modified_gmt":"2025-11-10T01:49:50","slug":"hackers-chineses-reutilizam-falhas-para-espionagem","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/11\/exploits\/hackers-chineses-reutilizam-falhas-para-espionagem\/","title":{"rendered":"Hackers chineses reutilizam falhas para espionagem"},"content":{"rendered":"\n<p style=\"text-align: justify;\" data-start=\"0\" data-end=\"813\"><strong data-start=\"0\" data-end=\"82\">Hackers chineses reutilizam falhas conhecidas como armas globais de espionagem<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"0\" data-end=\"813\">Uma recente investiga\u00e7\u00e3o conduzida pelas equipes da Symantec e da Carbon Black \/ Broadcom revelou uma campanha sofisticada atribu\u00edda a um ator de amea\u00e7a com liga\u00e7\u00e3o \u00e0 China, que explorou falhas consideradas \u201cantigas\u201d \u2014 como CVE\u20112022\u201126134 (Atlassian), CVE\u20112021\u201144228 (Apache Log4j), CVE\u20112017\u20119805 (Apache Struts) e CVE\u20112017\u201117562 (GoAhead Web Server) para comprometer uma ONG norte-americana envolvida em pol\u00edticas internacionais. <br data-start=\"553\" data-end=\"556\" \/>O que chama aten\u00e7\u00e3o neste caso \u00e9 a persist\u00eancia da explora\u00e7\u00e3o de vulnerabilidades j\u00e1 conhecidas \u2014 em alguns casos com v\u00e1rios anos de exist\u00eancia \u2014 e o seu uso como \u201carma estrat\u00e9gica\u201d para espionagem, com alcance global e foco em infraestrutura de alto valor.<\/p>\n<p data-start=\"0\" data-end=\"813\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"815\" data-end=\"2080\"><strong data-start=\"815\" data-end=\"860\">Modo de opera\u00e7\u00e3o e cronologia da intrus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"815\" data-end=\"2080\">De acordo com o relat\u00f3rio, a primeira atividade do invasor foi detectada em 5 de abril de 2025, consistindo em escaneamentos contra servidores da ONG-alvo. Em seguida, os invasores exploraram diversas vulnerabilidades para ganhar acesso inicial. Posteriormente executaram comandos no sistema Windows (como curl para testar conectividade e netstat para mapear rede) e configuraram tarefas agendadas para persist\u00eancia usando o bin\u00e1rio leg\u00edtimo msbuild.exe, executando payloads maliciosos com privil\u00e9gios SYSTEM. <br data-start=\"1410\" data-end=\"1413\" \/>As ferramentas utilizadas inclu\u00edram importa\u00e7\u00e3o de DLLs maliciosas reutilizadas em outros ataques atribu\u00eddos aos grupos Space Pirates e Kelp (tamb\u00e9m conhecido como Salt Typhoon). Outra investiga\u00e7\u00e3o da ESET indicou que grupos chineses correlatos t\u00eam operado em v\u00e1rias regi\u00f5es (\u00c1sia, Europa, Am\u00e9rica Latina e EUA) visando atingir governos, telecomunica\u00e7\u00f5es e infraestruturas cr\u00edticas. <br data-start=\"1834\" data-end=\"1837\" \/>Embora n\u00e3o esteja claro o grau completo de sucesso da intrus\u00e3o (nenhuma nova atividade foi relatada ap\u00f3s 16 de abril de 2025), o uso de vulnerabilidades \u201cvelhas\u201d demonstra que advers\u00e1rios persistem em estrat\u00e9gias de baixo custo e alto retorno.<\/p>\n<p data-start=\"815\" data-end=\"2080\">\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"2082\" data-end=\"2194\"><strong data-start=\"2082\" data-end=\"2142\">Por que vulnerabilidades antigas continuam t\u00e3o eficazes?<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"2082\" data-end=\"2194\">Uma s\u00e9rie de fatores explica essa persist\u00eancia:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"2195\" data-end=\"3166\">\n<li data-start=\"2195\" data-end=\"2385\">\n<p data-start=\"2197\" data-end=\"2385\">Muitos sistemas permanecem desatualizados ou sem patches, especialmente em organiza\u00e7\u00f5es com menor maturidade de seguran\u00e7a, tornando vulnerabilidades divulgadas h\u00e1 anos ainda explor\u00e1veis.<\/p>\n<\/li>\n<li data-start=\"2386\" data-end=\"2613\">\n<p data-start=\"2388\" data-end=\"2613\">A reutiliza\u00e7\u00e3o de ferramentas e t\u00e9cnicas entre grupos de amea\u00e7a \u2014 modulariza\u00e7\u00e3o de payloads, compartilhamento de infraestrutura C2, ofusca\u00e7\u00e3o adaptada \u2014 permite que vetores antigos sejam recrudescidos com novas capacidades.<\/p>\n<\/li>\n<li data-start=\"2614\" data-end=\"2810\">\n<p data-start=\"2616\" data-end=\"2810\">As vulnerabilidades de \u201calto impacto\u201d (como Log4j) possuem amplitude de alcance global e existem em m\u00faltiplas inst\u00e2ncias, o que as torna alvos permanentes at\u00e9 serem corrigidas ou substitu\u00eddas.<\/p>\n<\/li>\n<li data-start=\"2811\" data-end=\"3166\">\n<p data-start=\"2813\" data-end=\"3166\">A estrat\u00e9gia de espionagem refor\u00e7a que n\u00e3o \u00e9 necess\u00e1ria a \u201cnovidade t\u00e9cnica\u201d para comprometer alvos valiosos \u2014 sim, repeti\u00e7\u00e3o, persist\u00eancia e oportunidade.<br data-start=\"2968\" data-end=\"2971\" \/>Esse fen\u00f4meno evidencia que o \u201ctempo de vida \u00fatil\u201d de uma vulnerabilidade, do ponto de vista de risco real, \u00e9 muito mais longo do que imagina-se: a potencial explora\u00e7\u00e3o pode se estender por anos.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"3168\" data-end=\"3321\"><strong data-start=\"3168\" data-end=\"3246\">Implica\u00e7\u00f5es para seguran\u00e7a corporativa, governamental e de infraestruturas<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"3168\" data-end=\"3321\">Para organiza\u00e7\u00f5es de todos os tipos, esse cen\u00e1rio imp\u00f5e v\u00e1rias li\u00e7\u00f5es:<\/p>\n<ul style=\"text-align: justify;\" data-start=\"3322\" data-end=\"4156\">\n<li data-start=\"3322\" data-end=\"3514\">\n<p data-start=\"3324\" data-end=\"3514\">Sistemas legados, dispositivos de rede, servidores auxiliares ou aplica\u00e7\u00f5es menos monitoradas (caso da ONG atacada) s\u00e3o alvos de s\u00e9rie para advers\u00e1rios que procuram entradas \u201csilenciosas\u201d.<\/p>\n<\/li>\n<li data-start=\"3515\" data-end=\"3722\">\n<p data-start=\"3517\" data-end=\"3722\">A segmenta\u00e7\u00e3o de rede, visibilidade integral, logs de tarefas agendadas e uso de bin\u00e1rios comuns (como msbuild.exe) para persist\u00eancia exigem monitoramento dedicado e correla\u00e7\u00e3o de eventos fora do padr\u00e3o.<\/p>\n<\/li>\n<li data-start=\"3723\" data-end=\"3932\">\n<p data-start=\"3725\" data-end=\"3932\">Em ambientes de pol\u00edtica, defesa, energia ou telecomunica\u00e7\u00f5es, a explora\u00e7\u00e3o de vulnerabilidades antigas pode permitir espionagem prolongada, coleta de dados e prepara\u00e7\u00e3o para a\u00e7\u00f5es futuras de maior escala.<\/p>\n<\/li>\n<li data-start=\"3933\" data-end=\"4156\">\n<p data-start=\"3935\" data-end=\"4156\">A depend\u00eancia de cadeias de fornecimento de software, virtualiza\u00e7\u00e3o ou aplica\u00e7\u00f5es de terceiros pode introduzir vulnerabilidades herdadas \u2014 o que refor\u00e7a a necessidade de invent\u00e1rio, avalia\u00e7\u00e3o de risco e patching cont\u00ednuo.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"4158\" data-end=\"4216\"><strong data-start=\"4158\" data-end=\"4214\">Recomenda\u00e7\u00f5es pr\u00e1ticas de mitiga\u00e7\u00e3o e fortalecimento<\/strong><\/p>\n<ul style=\"text-align: justify;\" data-start=\"4217\" data-end=\"5419\">\n<li data-start=\"4217\" data-end=\"4431\">\n<p data-start=\"4219\" data-end=\"4431\">Realizar mapeamento completo e prioriza\u00e7\u00e3o de vulnerabilidades conhecidas com mais de 12 meses de publica\u00e7\u00e3o, verificando se aplica\u00e7\u00f5es internas, sistemas de controle ou aparelhos de rede continuam vulner\u00e1veis.<\/p>\n<\/li>\n<li data-start=\"4432\" data-end=\"4664\">\n<p data-start=\"4434\" data-end=\"4664\">Implementar pol\u00edticas de patching \u00e1gil, com janelas m\u00ednimas para corre\u00e7\u00e3o de vulnerabilidades classificadas como cr\u00edticas; quando patches n\u00e3o estiverem dispon\u00edveis, aplicar mitiga\u00e7\u00e3o compensat\u00f3ria (isolar, segmentar, monitorar).<\/p>\n<\/li>\n<li data-start=\"4665\" data-end=\"4837\">\n<p data-start=\"4667\" data-end=\"4837\">Ativar e revisar alertas de tarefas agendadas e execu\u00e7\u00e3o de bin\u00e1rios comuns com par\u00e2metros incomuns ou em locais fora do padr\u00e3o, bem como tr\u00e1fego de sa\u00edda n\u00e3o habitual.<\/p>\n<\/li>\n<li data-start=\"4838\" data-end=\"5025\">\n<p data-start=\"4840\" data-end=\"5025\">Segmentar ambiente para reduzir alcance lateral: intrus\u00e3o inicial deve ficar restrita e detect\u00e1vel, evitando que ativos sens\u00edveis sejam acessados a partir de compromissos perif\u00e9ricos.<\/p>\n<\/li>\n<li data-start=\"5026\" data-end=\"5234\">\n<p data-start=\"5028\" data-end=\"5234\">Investir em intelig\u00eancia de amea\u00e7as: monitorar grupos de atua\u00e7\u00e3o chineses, infraestrutura C2 conhecida e sinais de persist\u00eancia a longo prazo, e ser capaz de responder rapidamente a sinais de exfiltra\u00e7\u00e3o.<\/p>\n<\/li>\n<li data-start=\"5235\" data-end=\"5419\">\n<p data-start=\"5237\" data-end=\"5419\">Auditar sistemas de rede, endpoints, servidores de ativa\u00e7\u00e3o de software, ferramentas administrativas e processos de atualiza\u00e7\u00e3o \u2014 muitas vezes a falha est\u00e1 em \u201ccomponente de rotina\u201d.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\" data-start=\"5421\" data-end=\"6316\"><strong data-start=\"5421\" data-end=\"5434\">Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"5421\" data-end=\"6316\">O uso de vulnerabilidades antigas por atores chineses para realizar espionagem global demonstra que a defesa cibern\u00e9tica requer uma abordagem que v\u00e1 al\u00e9m da \u201ccorrida ao zero-day\u201d. A persist\u00eancia advers\u00e1ria, a reutiliza\u00e7\u00e3o de vetores e a explora\u00e7\u00e3o de ativos n\u00e3o atualizados evidenciam que, em 2025, a seguran\u00e7a n\u00e3o est\u00e1 apenas em evitar \u201co pr\u00f3ximo bug\u201d \u2014 mas em manter vis\u00e3o operacional cont\u00ednua, corrigir vulnerabilidades hist\u00f3ricas, monitorar comportamento fora do padr\u00e3o e tratar qualquer ativo envelhecido como potencial risco ativo. Organiza\u00e7\u00f5es que desconsideram sistemas \u201clegados\u201d ou \u201cmenos cr\u00edticos\u201d o fazem sob seu pr\u00f3prio risco: o inimigo simplesmente busca brechas silenciosas para manter presen\u00e7a e extra\u00e7\u00e3o ao longo de meses ou anos. A seguran\u00e7a eficaz, portanto, \u00e9 tanto estrat\u00e9gica quanto operacional \u2014 atualizar, segmentar, monitorar e responder com continuidade.<\/p>\n<p data-start=\"5421\" data-end=\"6316\">\u00a0<\/p>\n<p data-start=\"6318\" data-end=\"6350\"><strong data-start=\"6318\" data-end=\"6348\">Refer\u00eancias bibliogr\u00e1ficas<\/strong><\/p>\n<ul data-start=\"6351\" data-end=\"6861\">\n<li data-start=\"6351\" data-end=\"6606\">\n<p data-start=\"6354\" data-end=\"6606\"><strong>Caveira Tech.<\/strong> \u201cHackers chineses transformam falhas antigas em armas globais de espionagem\u201d. Dispon\u00edvel em: <a class=\"decorated-link\" href=\"https:\/\/caveiratech.com\/post\/hackers-chineses-transformam-falhas-antigas-em-armas-globais-de-espionagem-7324145?utm_source=chatgpt.com\" target=\"_blank\" rel=\"noopener\" data-start=\"6461\" data-end=\"6572\">https:\/\/caveiratech.com\/post\/hackers-chineses-transformam-falhas-antigas-em-armas-globais-de-espionagem-7324145<\/a>\u00a0<\/p>\n<\/li>\n<li data-start=\"6607\" data-end=\"6861\">\n<p data-start=\"6610\" data-end=\"6861\"><strong>CNN Brasil.<\/strong> \u201cEUA acusam China de promover mega ataque cibern\u00e9tico para roubo de dados\u201d. Dispon\u00edvel em: <a href=\"https:\/\/www.cnnbrasil.com.br\/internacional\/eua-acusam-china-de-promover-mega-ataque-cibernetico-para-roubo-de-dados\/\" target=\"_blank\" rel=\"noopener\">https:\/\/www.cnnbrasil.com.br\/internacional\/eua-acusam-china-de-promover-mega-ataque-cibernetico-para-roubo-de-dados\/<\/a><\/p>\n<\/li>\n<\/ul>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Hackers chineses reutilizam falhas conhecidas como armas globais de espionagem Uma recente investiga\u00e7\u00e3o conduzida pelas equipes da Symantec e da Carbon Black \/ Broadcom revelou uma campanha sofisticada atribu\u00edda a um ator de amea\u00e7a com liga\u00e7\u00e3o \u00e0 China, que explorou falhas consideradas \u201cantigas\u201d \u2014 como CVE\u20112022\u201126134 (Atlassian), CVE\u20112021\u201144228 (Apache Log4j), CVE\u20112017\u20119805 (Apache Struts) e CVE\u20112017\u201117562 [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":23494,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-23489","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23489","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=23489"}],"version-history":[{"count":5,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23489\/revisions"}],"predecessor-version":[{"id":23495,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/23489\/revisions\/23495"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/23494"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=23489"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=23489"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=23489"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}