Table of Contents
O grupo de ameaça persistente avançada (APT) chinês, conhecido como MirrorFace, tem realizado atividades notáveis em espionagem diplomática na União Europeia, utilizando o SoftEther VPN, uma ferramenta que se tornou a preferida entre esses grupos de ameaça. Desde o seu destaque em 2022, com os esforços de interferência nas eleições japonesas, o MirrorFace expandiu suas operações, recentemente atacando uma entidade diplomática na UE.
Pesquisadores da ESET constataram que, pela primeira vez, o MirrorFace direcionou seus ataques a uma organização diplomática na UE, apontando um risco crescente. A região tem sido um foco constante para diversos grupos de ameaça alinhados com a China, Coreia do Norte e Rússia. Segundo Jean-Ian Boutin, diretor de pesquisa de ameaças da ESET, muitos desses grupos concentram suas atividades principalmente em entidades governamentais e no setor de defesa.
Uso Abusivo do SoftEther VPN Aumenta Entre Grupos APT Patrocinados por Pequim
Além de expandir suas operações para um novo continente, o MirrorFace começou a depender cada vez mais do SoftEther VPN para garantir o acesso às suas vítimas. Não é o único grupo que optou por essa ferramenta; outros APTs apoiados pela China, como Flax Typhoon, Gallium e Webworm, também têm utilizado o software VPN de código aberto e multiplataforma, popular entre cibercriminosos.
Em fevereiro, um grupo até então desconhecido, denominado Hydrochasma, foi identificado abusando do SoftEther VPN em uma campanha de ciberespionagem focada em empresas de transporte na Ásia. Em abril, o grupo de ameaça chinês, ToddyCat, foi descoberto usando o SoftEther VPN para roubar dados de alvos governamentais e do setor de defesa na região da Ásia-Pacífico em uma escala substancial.
Os pesquisadores agora estão alertando sobre a possibilidade de que essas táticas se espalhem pela Europa, e a situação continua a evoluir rapidamente. Mathiew Tartare, pesquisador sênior de malware da ESET, destaca que diversos grupos APT alinhados à China estão cada vez mais adotando o SoftEther VPN por várias razões. Ser um software legítimo ajuda a evitar a detecção durante as operações maliciosas.
Estabelecer um túnel VPN HTTPS entre a rede comprometida e a infraestrutura do atacante facilita a mistura do tráfego malicioso com o tráfego HTTPS legítimo, conforme apontado por Tartare. Ele também menciona que o SoftEther VPN permite que os atacantes se façam passar por usuários remotos autorizados usando ferramentas comuns de protocolo de área de trabalho remota (RDP).
O especialista não se surpreenderia se o uso do SoftEther VPN e de outras ferramentas legítimas de VPN ou acesso remoto aumentasse, beneficiando-se da capacidade de contornar detecções e misturar-se a tráfego legítimo.
Adicionalmente, é importante notar que APTs apoiados pela China estão compartilhando seu conhecimento em cibercrime com adversários apoiados pelo Irã. Essa colaboração tem focado em ciberespionagem contra o Iraque e o Azerbaijão, bem como em ataques a diplomatas franceses, segundo os achados da ESET. O Irã, por sua vez, tem direcionado esforços de hackers para obter acesso não autorizado a instituições financeiras em toda a África.
No mesmo contexto, tanto atores de ameaça da China quanto da Coreia do Norte intensificaram ações contra instituições educacionais em locais como os EUA, Coreia do Sul e Sudeste Asiático, conforme revelado pelo relatório da ESET.
Ciberespionagem na União Europeia: O Grupo MirrorFace em Foco
Na crescente arena da ciberespionagem, o MirrorFace se destaca por suas táticas sofisticadas. Atuando como uma APT (Ameaça Persistente Avançada), seu impacto é sentido principalmente na União Europeia, onde atividades de cibercrime proliferam.
O uso do SoftEther VPN por grupos de ameaça chineses sublinha um paradigma emergente em segurança. A ferramenta, legítima e benéfica, é explorada para cibercrimes e espionagem diplomática, comprometendo dados sensíveis e intensificando ameaças na região.
Operações de Ciberespionagem: Estratégias e Implementações
Na última década, a União Europeia enfrentou um aumento notável nas operações de ciberespionagem. Grupos como Flax Typhoon e Gallium se tornaram emblemáticos de ataques que ameaçam a segurança cibernética.
A cooperação entre grupos de ameaça chineses e iranianos fomenta uma nova era de ciberespionagem, onde o conhecimento é partilhado para otimizar ataques a alvos como o Iraque e o Azerbaijão. Estas ações são evidentes em ataques a diplomatas franceses, e são facilitadas pelo abuso de VPNs como o SoftEther.
Contexto Global e Segurança Diplomática
Operações do MirrorFace complicam ainda mais o cenário diplomático global, com riscos à integridade nacional. O acesso a informações sensíveis desafia a segurança de negociações internacionais e coloca em risco a soberania das nações.
Os impactos são vastos, onde a manipulação de dados compromete acordos e relocações políticas. Em resposta, a UE intensifica a proteção dos dados e a colaboração entre seus estados membros, focando em investimentos tecnológicos para fortalecer suas defesas.
Medidas Contra Ameaças de Ciberespionagem
A resposta às ameaças de ciberespionagem exige abordagens integradas, focando na educação digital e medidas preventivas. As nações da UE estão aprimorando as competências tecnológicas e criando políticas de proteção avançadas.
Além disso, o compromisso de colaboração internacional entre agências assegura uma defesa eficaz contra ameaças persistente avançada. A conscientização e o treinamento contínuo são fundamentais, sobretudo contra técnicas de spear-phishing e uso indevido de VPNs.
Conclusões e Futuro da Segurança Cibernética
O aumento da ciberespionagem pelo grupo MirrorFace demanda sistemas de defesa robustos e adaptáveis. A segurança cibernética depende de inovação constante, e a evolução de protocolos pode mitigar ameaças futuras.
Com a proliferação de dados e táticas de cibercrime, a necessidade de proteção integral está no topo das agendas nacionais. A União Europeia deve liderar esforços em tecnologia e formação para preservar a integridade digital.
- Espionagem Diplomática – Aumento da vigilância e coleta de informações entre países.
- Cibercrime Apoiados pela China – Alianças estratégicas entre grupos de ameaça.
- Uso de VPNs – Interseção complexa entre privacidade e segurança online.
Para entender mais sobre as ameaças de APT e suas implicações, acesse o Relatório APT 2024.
Saiba Mais sobre cibercrime e ciberespionagem em nosso relatório especializado.