Código HTML do Conteúdo

Post: Patchwork lança campanha de spear-phishing contra a defesa turca

<div> <div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default"> <div> <div> <p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:21 Setembro 2025 20:53</b></span></p> <p>O <strong>Patchwork</strong> grupo, tamb&eacute;m conhecido pelos pseud&ocirc;nimos <em>APT-C-09, APT-Q-36, Chinastrats, Elefante Dropado, Opera&ccedil;&atilde;o Ressaca, Tigre Acolchoado e Zinco Emerson</em> , lan&ccedil;ou um novo <strong>spear-phishing</strong> visando o setor de defesa turco. O objetivo principal dos invasores, de acordo com analistas, era <strong>para obter informa&ccedil;&otilde;es confidenciais sobre desenvolvimentos em plataformas n&atilde;o tripuladas e armas hipers&ocirc;nicas.</strong></p> <p>De acordo com <a href="https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry" target="_blank">Laborat&oacute;rios de lobos do &Aacute;rtico</a> , a cadeia de ataque consiste em cinco etapas e come&ccedil;a com a distribui&ccedil;&atilde;o de arquivos LNK (atalho do Windows) disfar&ccedil;ados de convites para uma confer&ecirc;ncia internacional sobre ve&iacute;culos n&atilde;o tripulados. Esses e-mails foram <em>dirigido a funcion&aacute;rios de empresas que operam no complexo militar-industrial turco</em> , incluindo um <strong>fabricante de m&iacute;sseis de alta precis&atilde;o</strong> .</p> <p>O contexto geopol&iacute;tico torna o ataque particularmente significativo: o seu lan&ccedil;amento coincidiu com o aprofundamento da coopera&ccedil;&atilde;o t&eacute;cnico-militar entre os Estados-Membros. <strong>Turquia e Paquist&atilde;o</strong> , bem como a escalada do conflito entre o Paquist&atilde;o e a &Iacute;ndia. De acordo com v&aacute;rios analistas, <em>A Patchwork est&aacute; agindo no interesse do Estado indiano e tem atacado sistematicamente alvos pol&iacute;ticos e militares em pa&iacute;ses do sul da &Aacute;sia desde 2009.</em></p> <p>No in&iacute;cio de 2025, o mesmo grupo lan&ccedil;ou uma campanha <em>contra universidades chinesas usando documentos relacionados &agrave; energia como isca</em> . Ele usou um <strong>Ferrugem-</strong> baseado <strong>downloader</strong> que descriptografou e executou um <strong>Trojan C# conhecido como Protego</strong> , projetado para coletar dados de computadores infectados.</p> <p>O &uacute;ltimo ataque &agrave;s organiza&ccedil;&otilde;es de defesa turcas mais uma vez usa <strong>LNK</strong> Incorpora&ccedil;&atilde;o de arquivos <strong>PowerShell</strong> Comandos. Os scripts iniciam uma conex&atilde;o com um servidor remoto, expouav[.]org&mdash;o dom&iacute;nio foi registrado em 25 de junho de 2025 e <em>&eacute; usado como um ponto de distribui&ccedil;&atilde;o de carga. Al&eacute;m do c&oacute;digo malicioso</em> , o site cont&eacute;m um documento PDF que imita uma confer&ecirc;ncia internacional, referindo-se ostensivamente a um evento real realizado na plataforma WASET. Isso permite que o usu&aacute;rio se distraia com um &rdquo; <strong>capa</strong> &rdquo; enquanto os scripts s&atilde;o executados em segundo plano.</p> <p>Outras a&ccedil;&otilde;es levam ao carregamento de uma biblioteca DLL, iniciada por meio do m&eacute;todo de sideload de DLL, ou seja, substituindo um componente leg&iacute;timo em um processo confi&aacute;vel. Sua execu&ccedil;&atilde;o &eacute; iniciada por <strong><em>uma tarefa agendada no Agendador de Tarefas do Windows</em></strong> , que inicia o c&oacute;digo shell incorporado. Este m&oacute;dulo realiza reconhecimento ambiental: ele coleta informa&ccedil;&otilde;es do sistema, faz capturas de tela e envia dados para o servidor C2.</p> <p>Uma caracter&iacute;stica distintiva das novas opera&ccedil;&otilde;es &eacute; a utiliza&ccedil;&atilde;o de <strong>Arquivos PE de 32 bits em vez das DLLs de 64 bits usadas anteriormente</strong> . Isso indica uma evolu&ccedil;&atilde;o da base t&eacute;cnica e uma tentativa de aumentar o n&iacute;vel de ofusca&ccedil;&atilde;o: bin&aacute;rios x86 compactos s&atilde;o mais f&aacute;ceis de injetar em processos confi&aacute;veis e a mudan&ccedil;a arquitet&ocirc;nica complica a detec&ccedil;&atilde;o autom&aacute;tica de amea&ccedil;as.</p> <p>Os pesquisadores tamb&eacute;m encontraram evid&ecirc;ncias de sobreposi&ccedil;&atilde;o entre a infraestrutura do Patchwork e elementos anteriormente associados ao <strong>Grupo de equipe DoNot (APT-Q-38, Bellyworm</strong> ), o que pode indicar coopera&ccedil;&atilde;o t&aacute;tica ou log&iacute;stica entre os dois grupos de APT indianos.</p> <p>A campanha contra a ind&uacute;stria de defesa turca marca uma expans&atilde;o do foco da Patchwork, anteriormente focada no sul da &Aacute;sia. Tendo em conta o papel fundamental da Turquia no mercado dos drones ( <em>O pa&iacute;s responde por aproximadamente 65% das exporta&ccedil;&otilde;es globais</em> ) e a sua ambi&ccedil;&atilde;o de desenvolver armas hipers&oacute;nicas, <strong>as atividades do grupo indiano de ciberespionagem parecem estrategicamente motivadas.</strong></p> <div> <div> <div> <div> <p><b><span>Reda&ccedil;&atilde;o</span></b><br /><span>A equipe editorial da Red Hot Cyber &eacute; composta por um grupo de indiv&iacute;duos e fontes an&ocirc;nimas que colaboram ativamente para fornecer informa&ccedil;&otilde;es e not&iacute;cias antecipadas sobre seguran&ccedil;a cibern&eacute;tica e computa&ccedil;&atilde;o em geral.</span></p> <p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p> </div> </div> </div> </div> </div> </div> </div></div>