Empresas brasileiras ligadas a setores estratégicos como governo, tecnologia, manufatura, logística, telecomunicações e serviços de TI estão na mira de um sofisticado grupo de ciberespionagem com indícios de vínculo com o Estado chinês. A descoberta é da ISH Tecnologia, uma das principais empresas nacionais de cibersegurança, que publicou uma análise detalhada sobre o arsenal usado pelo grupo conhecido como Earth Alux.
A atuação do grupo é caracterizada por campanhas furtivas e persistentes, com foco em ciberespionagem de longo prazo. Diferente de ataques comuns de ransomware, que exigem resgate ou causam interrupções visíveis, o Earth Alux busca se manter invisível dentro dos sistemas comprometidos, extraindo dados sensíveis de forma contínua e silenciosa.
“Essa campanha não visa lucro direto. Trata-se de espionagem patrocinada, com objetivos estratégicos muito claros. O Brasil está no radar do grupo, e é fundamental que organizações nacionais estejam cientes dessa ameaça”, alerta Gustavo Santos, Pesquisador de Malware da ISH.
Ferramentas avançadas e táticas sofisticadas de intrusão
O relatório da ISH detalha as principais ferramentas usadas pelo Earth Alux para manter o acesso remoto, evitar detecção e sustentar sua presença nos ambientes invadidos:
- Godzilla: webshell avançada que garante persistência pós-invasão, com alta capacidade de evasão.
- MasqLoader: loader que usa técnicas como DLL Side-Loading e anti-análise para carregar backdoors.
- RSBinject: ferramenta de injeção de código diretamente na memória, sem deixar rastros em disco.
- RailSetter: módulo de persistência que usa Timestomping e tarefas agendadas disfarçadas.
Essas ferramentas são combinadas com backdoors como VARGEIT e Cobeacon, capazes de se comunicar com servidores de comando e controle (C2) por meio de diversos protocolos – HTTP, DNS, ICMP e MAPI. O grupo também utiliza buckets em nuvem próprios para exfiltração de dados e reutiliza sua infraestrutura em diferentes campanhas, demonstrando alto nível de organização e coordenação.
Alerta para empresas brasileiras
A recomendação é que empresas brasileiras, especialmente nos setores mais visados, reforcem suas políticas de segurança da informação, realizem análises constantes de comportamento anômalo em suas redes e consultem os indicadores de comprometimento (IOCs) divulgados no boletim técnico, disponível no site da companhia.
Com o Brasil se tornando um alvo cada vez mais relevante para operações de espionagem internacional, a conscientização e a resposta proativa se tornam cruciais para proteger ativos estratégicos e dados sensíveis.
