Os ataques começaram no segundo semestre de 2024 e prolongaram-se até 2025, afetando organizações na China, Japão, Malásia, Peru e Rússia. A maioria das vítimas eram empresas de média e grande dimensão, sobretudo no setor do petróleo e gás. A técnica inicial passava por e-mails de phishing direcionado, que simulavam comunicações de grandes empresas estatais com anexos aparentemente legítimos em PDF. Estes ficheiros, na realidade, escondiam executáveis maliciosos que abriam a porta à intrusão.

Para comprometer os sistemas, os atacantes usaram técnicas de sequestro de DLL e abusaram do utilitário legítimo Send Utility, criado para relatórios de falhas. O malware descarregava e executava código encriptado armazenado em perfis criados especificamente em plataformas populares como GitHub e redes sociais, tornando o ataque mais difícil de rastrear. Uma vez ativado, o código malicioso desencadeava o Cobalt Strike Beacon, comprometendo os dispositivos das vítimas.

Segundo Maxim Starodubov, especialista da Kaspersky, este caso mostra como os criminosos estão a recorrer a métodos cada vez mais complexos para ocultar ferramentas conhecidas, podendo até abusar de comentários em perfis legítimos para difundir sequências maliciosas. O padrão da campanha tem semelhanças com a operação EastWind, anteriormente associada a agentes de língua chinesa.

Como resposta, a Kaspersky recomenda medidas essenciais de defesa, como monitorização contínua da infraestrutura digital, adoção de soluções de segurança capazes de bloquear malware em e-mails, formação em cibersegurança para colaboradores e proteção abrangente dos dispositivos corporativos para deteção precoce de ameaças.

Fundada em 1997, a Kaspersky é hoje uma referência global em cibersegurança, com mais de mil milhões de dispositivos já protegidos em todo o mundo. A sua experiência na análise de ameaças alimenta soluções inovadoras que servem utilizadores individuais, empresas, governos e infraestruturas críticas.