APT Jewelbug, vinculado à China, tem como alvo provedor de TI russo em raro ataque cibernético entre países – Against Invaders – Notícias de CyberSecurity para humanos.

Taiwan Web Infrastructure targeted by APT UAT-7237 with custom toolset - Against Invaders - Notícias de CyberSecurity para humanos.

APT Jewelbug, vinculado à China, tem como alvo provedor de TI russo em raro ataque cibernético entre países

O APT Jewelbug, vinculado à China, teve como alvo um provedor de TI russo por cinco meses em 2025, mostrando que a Rússia continua exposta à espionagem cibernética chinesa.

O agente de ameaças vinculado à China Jewelbug (também conhecido como CL-STA-0049, Earth Alux e REF7707) realizaram uma intrusão de cinco meses em um provedor de serviços de TI russo, marcando sua expansão além do Sudeste Asiático e da América do Sul. A campanha, relatada pela Symantec, mostra que a Rússia continua sendo alvo da espionagem cibernética chinesa, apesar dos crescentes laços militares, econômicos e diplomáticos entre as duas nações.

O APT chinês violou vários alvos, incluindo uma empresa russa, um governo sul-americano e empresas de TI em Taiwan e no sul da Ásia. Os invasores acessaram repositórios de código e sistemas de compilação, potencialmente permitindo ataques à cadeia de suprimentos, e exfiltraram dados para o Yandex Cloud para evitar a detecção.

Os pesquisadores da Symantec Threat Hunter Team alertam que o direcionamento de uma empresa russa marca uma mudança, já que os atores chineses e russos raramente atacam uns aos outros, uma tendência que surgiu após a invasão da Rússia Ucrânia.

A intrusão do provedor de TI russo começou com um arquivo de depurador da Microsoft renomeado, 7zup.exe (na verdade, cdb.exe), uma marca registrada conhecida do Jewelbug usada para executar shellcode, ignorar listas de permissões e desabilitar ferramentas de segurança.

Os invasores executaram despejo de credenciais, estabeleceram persistência por meio de tarefas agendadas e limparam os logs de eventos do Windows para ocultar rastros. Os invasores exfiltraram dados para o Yandex Cloud usando um arquivo malicioso chamado yandex2.exe, provavelmente escolhido para evitar a detecção em redes russas. O Jewelbug também acessou sistemas de compilação e repositórios de código, indicando um possível ataque à cadeia de suprimentos direcionado a clientes russos.

“Os invasores também tinham como alvo máquinas com sistemas de compilação e sistemas de repositório de código, potencialmente buscando alavancar o acesso ao código-fonte para realizar um ataque à cadeia de suprimentos visando os clientes da empresa na Rússia.” afirma o relatório publicado pela Symantec. “Os provedores de serviços de TI são alvos populares para invasores que buscam realizar ataques à cadeia de suprimentos, pois geralmente têm amplo acesso aos sistemas de seus clientes e podem implantar automaticamente atualizações ou software em um grande número de redes simultaneamente, potencialmente dando aos invasores acesso ou permitindo que eles infectem um grande número de organizações ao mesmo tempo.”

O grupo permaneceu na rede da vítima de janeiro a maio de 2025, mostrando uma operação prolongada e furtiva.

Jewelbug também comprometeu um departamento do governo sul-americano repetidamente ou por um longo período. Os pesquisadores observaram uma atividade suspeita de setembro de 2024 a julho de 2025. As atividades iniciais incluíram adicionar usuários, implantar AnyDesk e 7-zip e tentar acesso remoto. A atividade recente usou o sideload de DLL por meio de um executável legítimo, SMBExec para movimento lateral, tarefas agendadas para persistência e BITSAdmin/curl para provável exfiltração. O grupo também implantou um novo backdoor que usa a API do Microsoft Graph e o OneDrive como C2: ele enumera e carrega listas de arquivos, registra ações para C:ProgramDataapplication.ini, cria um C:UsersPublicLibraries~ e coleta IP, versão do Windows, nome do host e, às vezes, IDs de máquina. O malware parece ser um trabalho em andamento, mas o uso de serviços em nuvem para C2 reduz os indicadores observáveis e complica a detecção.

A Jewelbug também teve como alvo um provedor de TI no sul da Ásia e uma empresa taiwanesa em outubro e novembro de 2024. Os invasores usaram técnicas de carregamento lateral de DLL para entregar várias cargas úteis, incluindo oBackdoor do ShadowPad, que é um malware usado exclusivamente por grupos APT vinculados à China.

“Os invasores também usaram a ferramenta KillAV para desativar o software de segurança, além de implantar uma ferramenta disponível publicamente chamada EchoDrv, que permite o abuso da vulnerabilidade de leitura/gravação do Kernel no driver anti-cheat ECHOAC.” continua o relatório. “Este é provavelmente um exemplo dos invasores usando o traga seu próprio driver vulnerável (BYOVD) técnica como uma tentativa de evitar que sua atividade maliciosa seja detectada. Eles também criaram tarefas agendadas para persistência.”

Os invasores despejaram credenciais usando ferramentas como LSASS e Mimikatz e usaram Fast Reverse Proxy e Earthworm para tunelamento. Os ciberespiões chineses contavam com ferramentas como PrintNotifyPotato e Sweet Potato para escalonamento de privilégios, depois renomeados e injetados cdb.exe para que os serviços furtivos e favorecidos em nuvem/legítimos permaneçam persistentes e secretos.

“O direcionamento de uma organização russa por um grupo APT chinês mostra, no entanto, que a Rússia não está fora dos limites quando se trata de operações de atores baseados na China. O fato de haver indícios de que o provedor de serviços de TI pode ter sido alvo de um ataque à cadeia de suprimentos de software contra os clientes da empresa na Rússia também é notável, pois significa que esse ataque tinha o potencial de dar aos invasores acesso a um grande número de empresas no país. que eles poderiam ter usado para espionagem cibernética ou interrupção.” conclui o relatório. “O uso de um novo backdoor em desenvolvimento pela Jewelbug neste conjunto de atividades também é importante, pois mostra que o grupo continua a desenvolver ativamente seu conjunto de ferramentas e capacidades.”

Siga-me no Twitter:@securityaffairseLinkedineMastodonte

PierluigiPaganini

(Assuntos de Segurança–hacking, China)

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.