
Atores alinhados à China e à Índia comprometeram servidores web e appliances de forças policiais paquistanesas entre fevereiro de 2024 e abril de 2026, usando o Complaint Management System para distribuir implantes disfarçados de atualização.
| Componente | Aplicações web de forças policiais paquistanesas, com destaque para o Complaint Management System (CMS) da Balochistan Police, além de um appliance Fortinet FortiMail que atuava como gateway de e-mail de entrada e servidores da iniciativa Smart Police Station. |
| Vetor | Comprometimento de servidores web e appliances de rede, com hospedagem de um implante (cms_plugin.exe) no portal CMS disfarçado de atualização do sistema; a exibição de mensagem falsa de atualização concluída induzia usuários a acreditar em processo legítimo. |
| Impacto | Acesso a servidores que hospedam dados biométricos, registros criminais, registros de pessoal e registros de hotéis e inquilinos vinculados à identidade nacional, com implantação de famílias de malware para espionagem sustentada. |
| Prioridade | Revisar integridade de portais públicos e appliances de perímetro, caçar os implantes descritos e monitorar tráfego para a infraestrutura de comando e controle identificada. |
| Atores | Quatro clusters distintos: um nexo Índia associado ao Remcos RAT e sobreposto ao Mysterious Elephant (APT-C-08, APT-K-47, TAG-179); clusters PlugX, ShadowPad e Cobalt Strike tradicionalmente associados a operações alinhadas à China. |
| IoCs | Servidor C2 defangado 142.171.183[.]8 (Cobalt Strike); download de estágio adicional a partir de 193.42.25[.]65; portal comprometido cms[.]balochistanpolice[.]gov[.]pk; artefatos cms_plugin.exe, um stager em Rust e um executável.NET que se passa por 360Safe.exe. |
Pesquisadores de segurança descreveram uma atividade de espionagem cibernética prolongada contra diversas organizações de aplicação da lei do Paquistão, atribuída a atores suspeitos de alinhamento com a China e com a Índia, ocorrida entre fevereiro de 2024 e abril de 2026. O caso é relevante porque reúne, sobre o mesmo alvo, tanto um parceiro quanto um adversário do Estado paquistanês, uma convergência que por si só sinaliza o alto valor de inteligência dessas instituições. Forças policiais concentram o quadro interno de segurança de um país, incluindo o que o governo sabe sobre ameaças dentro de suas fronteiras e como atua contra elas, o que as torna alvo atraente para coleta estratégica.
Na Balochistan Police, os ativos comprometidos incluíram servidores que hospedam aplicações web responsáveis por gerenciar dados de policiais e de cidadãos, como registros criminais e biométricos. A atividade também atingiu appliances de rede e servidores que administram registros biométricos, cadastros de hotéis e inquilinos vinculados à identidade nacional, arquivos de casos criminais e registros de pessoal. Segundo a análise, foram identificados quatro clusters de ameaça distintos, cada um utilizando uma família de malware própria: PlugX, ShadowPad, Cobalt Strike e Remcos RAT.
O elemento mais notável da campanha é o uso do Complaint Management System (CMS) da Balochistan Police, aplicação legítima destinada ao registro, acompanhamento e resolução de reclamações de cidadãos, como mecanismo de entrega de malware. Após o comprometimento da aplicação web, o ator com nexo China teria hospedado um implante disfarçado de atualização do portal. Por servir tanto o público quanto o efetivo policial, o CMS colocou ambas as categorias de usuários dentro do alcance do atacante, transformando uma ferramenta pensada para tornar o policiamento mais acessível e transparente em um canal de distribuição de código malicioso.
Duas variantes distintas de um implante identificado como cms_plugin.exe foram enviadas ao portal em conexão com a operação. Uma delas é um stager escrito em Rust, projetado para baixar uma carga adicional a partir do endereço defangado 193.42.25[.]65 e executá-la; a natureza exata do estágio seguinte permanece desconhecida, mas as amostras exibem a mensagem de atualização concluída pedindo que o usuário atualize a página, imitando um processo legítimo do CMS. A outra é um executável.NET que se passa por 360Safe.exe, binário legítimo associado ao Qihoo 360 Total Security, usado para carregar de forma reflexiva um assembly que implementa um cliente AsyncRAT.
A atribuição de cada cluster apoia-se em vitimologia e sobreposição de infraestrutura. O emprego combinado de PlugX e de ShadowPad, considerado sucessor do primeiro, é tradicionalmente associado a grupos estatais chineses; a vitimologia observada para PlugX (entre 27 de fevereiro e 28 de setembro de 2024) e para ShadowPad (entre 3 de agosto e 1 de dezembro de 2024) reforça essa avaliação, abrangendo entidades de governo, relações exteriores, defesa, organizações não governamentais e pesquisa em várias regiões da Ásia, na Península Arábica e no Sudeste Europeu. O cluster de Cobalt Strike é vinculado a atores de nexo China com base no tráfego ao servidor de comando e controle defangado 142.171.183[.]8, cuja vitimologia se estende a alvos de governo, academia, telecomunicações e organizações não governamentais em diferentes continentes, incluindo organizações budistas tibetanas em Taiwan.
Já o conjunto de intrusão relacionado ao Remcos RAT foi atribuído a um ator de nexo Índia, com compartilhamento de infraestrutura e sobreposições táticas com o grupo conhecido como Mysterious Elephant (também rastreado como APT-C-08, APT-K-47 e TAG-179), que por sua vez apresenta pontos em comum com adversários de nexo Índia como SideWinder, Confucius e Bitter. As cadeias de ataque desse cluster empregaram iscas relacionadas à aplicação da lei paquistanesa, exibindo um documento de distração que aparentava conter um plano operacional para repatriação de estrangeiros em situação irregular, incluindo portadores do Afghan Citizen Card (ACC).
Além da Balochistan Police, foi detectada infraestrutura comprometida associada a outras organizações policiais paquistanesas, o que indica um esforço amplo e coordenado contra o setor de segurança pública do país. Os ativos atingidos concentram-se em aplicações web expostas à internet e em appliances de perímetro, componentes que quando comprometidos oferecem tanto persistência quanto acesso a dados sensíveis de cidadãos e de servidores públicos.
- Servidores web que hospedam aplicações da Balochistan Police ligadas à iniciativa de digitalização Smart Police Station.
- O portal Complaint Management System, no domínio comprometido cms[.]balochistanpolice[.]gov[.]pk, usado por cidadãos e efetivo policial.
- Um appliance Fortinet FortiMail que atuava como gateway primário de e-mail de entrada da agência.
- Servidores que gerenciam registros biométricos, arquivos de casos criminais, registros de pessoal e cadastros de hotéis e inquilinos vinculados à identidade nacional.
- Organizações de aplicação da lei adicionais no Paquistão identificadas com infraestrutura comprometida, incluindo Khyber Pakhtunkhwa Police, Islamabad Police e Punjab Safe Cities Authority (PSCA).
A caça deve priorizar a integridade de portais públicos e de appliances de e-mail, além do rastreamento de comunicações de saída para a infraestrutura citada. Como o vetor central foi a substituição de conteúdo legítimo em uma aplicação confiável, controles de integridade de arquivos e correlação entre uploads no portal e execução de binários são particularmente úteis.
- Presença de artefatos com nome
cms_plugin.exeou de binários que se passam por360Safe.exefora dos caminhos legítimos do Qihoo 360 Total Security. - Tráfego de rede em direção aos endereços defangados 142.171.183[.]8 e 193.42.25[.]65, tratados como indicadores de comando e controle e de estágio adicional.
- Sinais de carregamento reflexivo de assemblies.NET em memória e comportamento consistente com clientes AsyncRAT, Remcos RAT, Cobalt Strike, PlugX ou ShadowPad.
- Uploads inesperados de executáveis em portais web de produção, especialmente páginas que exibem mensagens de atualização concluída pedindo atualização da página.
- Documentos de distração usados como isca com temática de aplicação da lei, incluindo supostos planos de repatriação de estrangeiros e menções ao Afghan Citizen Card.
- Alterações não autorizadas na configuração ou no comportamento do appliance FortiMail usado como gateway de e-mail de entrada.
A resposta deve começar pela contenção dos ativos expostos à internet e pela verificação de integridade das aplicações web comprometidas, seguindo para a caça por implantes e a revisão dos appliances de perímetro. Instituições que operam portais de atendimento ao cidadão devem tratar esses sistemas como alvos de alto valor, dado que servem simultaneamente público externo e usuários internos.
- Validar a integridade dos binários e do conteúdo servido por portais web públicos, removendo qualquer artefato não autorizado e comparando com versões íntegras conhecidas.
- Revisar e atualizar appliances de perímetro, incluindo gateways de e-mail como o FortiMail, verificando configuração, contas e regras em busca de alterações indevidas.
- Bloquear e monitorar comunicação com os indicadores de comando e controle citados, mantendo-os defangados em documentação e alimentando a detecção em rede.
- Segmentar aplicações que armazenam dados biométricos, criminais e de pessoal, restringindo o acesso administrativo e reforçando o monitoramento de uploads.
- Investigar hosts que executaram os artefatos descritos, procurando persistência, movimentação e cargas adicionais, dado que o estágio seguinte do stager em Rust não é totalmente conhecido.
- Reforçar controles de identidade e autenticação nos portais afetados e conduzir revisão retrospectiva de logs cobrindo o período de fevereiro de 2024 a abril de 2026.
0 Comentários