Ator associado à China passou a usar contas governamentais comprometidas, documentos com modelo remoto, RoyalRoad, carregadores 5.t e Cobalt Strike Beacon para obter acesso inicial em novas regiões.
| Componente | Operação do Sharp Dragon, com uso de phishing direcionado, documentos do Word, modelo remoto, RoyalRoad, downloader 5.t e Cobalt Strike Beacon. |
| Vetor | E-mails enviados a partir de infraestrutura governamental previamente comprometida, usando iscas diplomáticas e documentos alinhados a relações entre países do Sudeste Asiático, África e Caribe. |
| Impacto | Estabelecimento de acesso inicial em organizações governamentais, execução de payload com comunicação C2, reconhecimento local, execução de comandos e possível uso posterior de ferramentas próprias. |
| Prioridade | Revisar contas de e-mail governamentais usadas para encaminhar documentos externos, investigar execução de arquivos disfarçados de documentos e bloquear cadeias que envolvam modelo remoto, RoyalRoad e comportamento de beacon. |
| Artefatos | Foram citados VictoryDLL, framework SoulSearcher, Cobalt Strike Beacon, carregadores 5.t, executáveis disfarçados de documentos e persistência por tarefa agendada. |
| Infraestrutura | O grupo passou a usar servidores comprometidos como C2; há suspeita de exploração de CVE-2023-0669 no GoAnywhere para comprometer infraestrutura usada posteriormente. |
O Sharp Dragon, anteriormente referido como Sharp Panda, apresenta uma mudança operacional relevante em sua seleção de alvos. Depois de um histórico concentrado em organizações do Sudeste Asiático, a atividade descrita passou a mirar entidades governamentais na África e no Caribe a partir de novembro de 2023. A campanha não se limita a uma troca de tema em e-mails de phishing: ela combina confiança institucional, contas governamentais já comprometidas e iscas construídas em torno de relações diplomáticas, industriais e administrativas entre países. Esse padrão torna a triagem mais difícil, porque o remetente pode pertencer a uma organização real e o conteúdo pode refletir comunicações plausíveis entre governos.
A cadeia observada preserva características históricas do grupo, mas com alterações nos payloads e na etapa inicial. As operações anteriores foram associadas ao uso de VictoryDLL e do framework SoulSearcher; na fase mais recente, o payload entregue pelo downloader 5.t passou a ser Cobalt Strike Beacon. Essa troca reduz a exposição de ferramentas customizadas e oferece ao operador recursos conhecidos de backdoor, comunicação com infraestrutura de comando e controle e execução de comandos. O contexto também aponta que o Cobalt Strike Beacon pode servir como instrumento inicial de avaliação do ambiente, com eventual uso posterior de ferramentas próprias ainda não observado nessa fase.
A expansão para África e Caribe dependeu de acessos previamente obtidos em organizações governamentais do Sudeste Asiático. Em um primeiro caso, um e-mail enviado de um país do Sudeste Asiático para uma organização africana usou uma isca sobre relações industriais entre as regiões. Depois, em janeiro de 2024, a própria infraestrutura governamental africana inicialmente visada apareceu como origem de nova atividade, o que sugere que parte da campanha obteve êxito. No Caribe, um fluxo semelhante foi observado: e-mails partiram de infraestrutura governamental do Sudeste Asiático para um ministério de Relações Exteriores e, em seguida, infraestrutura de um país caribenho foi usada em campanha de phishing mais ampla contra governos da região.
A infecção descrita começa com phishing direcionado e documentos do Word preparados para acionar um modelo remoto. Esse modelo leva à recuperação de um arquivo RTF armado com RoyalRoad, técnica historicamente associada a documentos maliciosos usados contra alvos de alto valor. O objetivo dessa fase não é disseminação massiva indiscriminada, mas a obtenção de execução inicial em ambientes selecionados. O conteúdo das iscas foi adaptado ao contexto político e administrativo dos destinatários, incluindo assuntos como cooperação industrial, reuniões do Commonwealth caribenho e pesquisa sobre ameaça de opioides no Caribe Oriental. Para defesa, o ponto central é que o valor de confiança vem do encadeamento entre remetente legítimo, tema plausível e documento com comportamento remoto anômalo.
Após a abertura e a execução da cadeia inicial, o downloader 5.t desempenha papel de triagem. A versão mais recente descrita realiza reconhecimento mais amplo antes de decidir se entrega payload adicional. Entre os comportamentos citados estão exame da lista de processos e enumeração de pastas, sinais úteis para diferenciar máquinas de interesse de ambientes de análise ou estáções sem valor operacional. Quando o host é considerado relevante, o operador entrega um payload. Na fase atual, esse payload foi identificado como Cobalt Strike Beacon, com capacidade de manter comunicação C2 e permitir execução de comandos, sem revelar imediatamente backdoors customizados do grupo.
A cadeia também evoluiu na forma de carregamento. Além dos loaders baseados em DLL, foram observados exemplos em formato EXE. Outra variação altera a etapa inicial ao substituir o documento com modelo remoto por executáveis disfarçados de documentos. Nessa modalidade, o executável grava o loader DLL 5.t, aciona sua execução e cria uma tarefa agendada para persistência. A mudança é tecnicamente relevante porque desloca parte da detecção de macros, modelos remotos e RTF para controles de endpoint capazes de identificar arquivos executáveis mascarados, criação incomum de tarefas agendadas e relações de processo incompatíveis com abertura normal de documentos.
Na camada de infraestrutura, a operação deixou de depender apenas de servidores dedicados e passou a usar servidores comprometidos como C2. O contexto cita suspeita de exploração de CVE-2023-0669, falha de injeção de comandos pré-autenticação no GoAnywhere, para comprometer servidores que depois foram usados na operação. A coleta de dados de máquinas afetadas teria sido direcionada para um caminho que imitava serviço GoAnywhere, incluindo o artefato defangado /G0AnyWhere_up.jsp?Data=. Como a exploração do GoAnywhere é descrita como suspeita, a defesa deve tratá-la como hipótese de investigação, não como confirmação universal para toda infraestrutura envolvida.
A superfície exposta inclui organizações governamentais que mantêm comunicação internacional frequente, especialmente ministérios, áreas diplomáticas, equipes administrativas e grupos que trocam documentos sobre cooperação regional. O risco não se limita ao destinatário inicial: uma conta de e-mail governamental comprometida pode virar ponto de distribuição para outras entidades, elevando a taxa de confiança da mensagem. Essa característica cria um ciclo de abuso em que uma organização comprometida em uma região serve de ponte para entrada em outra, como observado no movimento do Sudeste Asiático para África e Caribe.
Ambientes Windows usados por servidores públicos, estáções de trabalho diplomáticas e áreas administrativas são especialmente sensíveis quando permitem abertura de documentos externos sem isolamento, execução de conteúdo remoto por suíte de escritório, gravação de DLL por processos de usuário e criação de tarefas agendadas sem alerta. A presença de Cobalt Strike Beacon como payload também amplia a superfície de detecção para rede, endpoint e identidade, porque a atividade pós-comprometimento pode envolver comunicação periódica, execução remota de comandos, descoberta local e tentativa de avaliar o valor do ambiente antes de implantar ferramentas adicionais.
- Contas de e-mail governamentais comprometidas usadas como remetentes confiáveis em novas campanhas de phishing.
- Documentos do Word com modelo remoto e RTF armado com RoyalRoad em fluxos de acesso inicial.
- Hosts Windows nos quais o downloader
5.tenumera processos e pastas antes da entrega de payload. - Servidores comprometidos usados como C2, incluindo infraestrutura possivelmente associada a GoAnywhere vulnerável a
CVE-2023-0669.
A investigação deve começar por correlação de e-mail, documento e endpoint. Em gateways de e-mail, procure mensagens externas ou intergovernamentais com anexos de documentos relacionados a assuntos diplomáticos, industriais ou administrativos, principalmente quando o remetente pertence a uma entidade que já mantém relação real com o destinatário. A análise precisa considerar que o conteúdo pode parecer legítimo e que o remetente pode estar comprometido. Por isso, indicadores comportamentais são mais fortes do que julgamento apenas por assunto ou reputação do domínio remetente.
No endpoint, a trilha mais importante está na abertura de documentos seguida por conexões para recuperação de modelo remoto, criação de arquivos temporários, carregamento de DLL incomum, execução de binários com nome ou ícone de documento e criação de tarefa agendada por processo que não deveria realizar persistência. Para o downloader 5.t, sinais de reconhecimento local incluem enumeração de processos e pastas antes de comunicação externa ou entrega de payload. Para Cobalt Strike Beacon, equipes devem procurar padrões de beaconing, processos de usuário realizando comunicação anômala, execução de comandos a partir de contexto inesperado e conexões recorrentes com infraestrutura que não pertence ao fluxo normal da organização.
Na rede, a mudança para servidores comprometidos como C2 reduz a utilidade de bloqueios baseados apenas em categorias óbvias. A investigação deve comparar destinos recém-observados com perfis históricos de comunicação, observar caminhos HTTP que imitam serviços legítimos e revisar tráfego para servidores GoAnywhere ou serviços similares quando houver indício de comprometimento. O artefato /G0AnyWhere_up.jsp?Data= deve ser tratado como exemplo de caminho suspeito defangado e não como lista completa de indicadores. Em logs de servidores, evidências relacionadas a CVE-2023-0669 devem ser avaliadas com foco em execução de comandos pré-autenticação, alterações inesperadas e uso posterior do servidor como ponto de comunicação.
- E-mails de contas governamentais legítimas com anexos de documentos e temas diplomáticos fora do padrão usual do destinatário.
- Processos de suíte de escritório iniciando conexões externas para modelos remotos ou criando arquivos executáveis auxiliares.
- Execução de EXE disfarçado de documento, gravação de loader DLL
5.te criação de tarefa agendada no mesmo intervalo temporal. - Enumeração de processos e diretórios seguida por comunicação C2 ou entrega de
Cobalt Strike Beacon. - Servidores de terceiros ou governamentais atuando como C2, especialmente quando o tráfego usa caminhos que imitam serviços corporativos.
A resposta deve priorizar contas e fluxos de comunicação usados como pivô de confiança. Organizações que receberam documentos de entidades governamentais parceiras devem validar remetentes por canal alternativo quando houver anexos incomuns, temas sensíveis ou solicitação de abertura de arquivos. Em paralelo, equipes de e-mail precisam revisar mensagens enviadas por contas comprometidas, identificar destinatários secundários e preservar cabeçalhos, anexos e metadados para reconstruir a cadeia. Em incidentes que envolvam ministérios ou órgãos internacionais, a coordenação entre organizações afetadas é parte da contenção, porque um remetente comprometido pode continuar distribuindo iscas convincentes.
Nos endpoints, a mitigação passa por restringir modelos remotos em documentos, endurecer políticas de abertura de arquivos recebidos externamente, bloquear execução de binários em diretórios temporários ou de usuário quando aplicável e alertar para criação de tarefas agendadas por processos inesperados. Controles de EDR devem correlacionar suíte de escritório, download remoto, criação de DLL, execução de loader e beaconing. Quando Cobalt Strike Beacon for suspeito, a contenção deve incluir isolamento do host, coleta de memória quando viável, preservação de artefatos de execução, revisão de credenciais usadas na máquina e busca lateral por comunicação semelhante em outros endpoints.
Para servidores potencialmente usados como infraestrutura comprometida, especialmente plataformas GoAnywhere, a organização deve revisar exposição externa, histórico de correções, logs de autenticação, eventos de execução e alterações em conteúdo web. A presença de CVE-2023-0669 no contexto torna essencial confirmar se instâncias vulneráveis foram expostas no período relevante e se há indícios de exploração antes de o servidor passar a se comunicar com vítimas. Como a atribuição a uma exploração específica é condicionada no contexto, a mitigação correta é baseada em evidência local: aplicar correções, remover exposição desnecessária, rotacionar credenciais associadas ao serviço, validar integridade do sistema e monitorar qualquer tráfego que sugira uso como C2.
- Bloquear ou isolar abertura de documentos externos que dependam de modelo remoto, especialmente em órgãos com comunicação diplomática sensível.
- Investigar contas governamentais que enviaram anexos para múltiplas entidades e redefinir credenciais quando houver evidência de comprometimento.
- Criar alertas para execução de arquivos disfarçados de documentos, carregamento de DLL
5.te criação de tarefa agendada por processos de usuário. - Tratar detecção de
Cobalt Strike Beaconcomo incidente de acesso remoto ativo, com isolamento, coleta forense e busca por hosts relacionados. - Revisar instâncias GoAnywhere expostas e corrigir ambientes suscetíveis a
CVE-2023-0669, validando logs antes e depois da correção.
0 Comentários