Pesquisadores da Sysdig identificaram uma nova ofensiva digital atribuída ao grupo UNC5174 — também conhecido como Uteus — ligado à China, envolvendo o uso de um malware adaptado chamado SNOWLIGHT e a distribuição da ferramenta de código aberto VShell. A campanha, altamente furtiva, tem como foco comprometer sistemas baseados em Linux, embora também tenham sido identificadas versões com capacidade de afetar o macOS.
Nova campanha cibernética atinge sistemas Linux com malware SNOWLIGHT e VShell
Ferramentas abertas para disfarçar ameaças
De acordo com Alessandra Rizzo, pesquisadora da Sysdig, os atacantes estão utilizando ferramentas amplamente disponíveis e de código aberto não apenas por economia, mas também para dificultar a atribuição dos ataques. Isso ajuda a camuflar suas ações entre grupos menos sofisticados, dificultando a identificação precisa de sua origem.
O UNC5174 ficou fora do radar por cerca de um ano, desde sua associação a atividades patrocinadas pelo governo chinês. Anteriormente, o grupo foi documentado explorando falhas críticas em plataformas como ConnectWise ScreenConnect e F5 BIG-IP, usando o downloader SNOWLIGHT, escrito em C, para buscar o tunelador GOHEAVY — um utilitário Golang — a partir de uma infraestrutura C2 pública conhecida como SUPERSHELL.
Ataques com múltiplas camadas
Além do GOHEAVY, o grupo também usou o GOREVERSE, um shell reverso em Golang via SSH. Relatórios recentes da ANSSI (Agência Francesa de Segurança da Informação) revelaram ataques semelhantes utilizando falhas no Ivanti Cloud Service Appliance (CSA), com exploração de vulnerabilidades como CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190.
Esses ataques, considerados discretos e moderadamente sofisticados, destacam o uso de rootkits e softwares amplamente divulgados como parte do arsenal cibernético do UNC5174.
Alvo também é o macOS
Tanto o SNOWLIGHT quanto o VShell foram identificados como capazes de atingir dispositivos Apple. O VShell foi inclusive detectado disfarçado como um falso aplicativo autenticador da Cloudflare, de acordo com artefatos analisados em uploads da China no VirusTotal em outubro de 2024.
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Sequência do ataque SNOWLIGHT–VShell
Em uma campanha observada no final de janeiro de 2025, o SNOWLIGHT agiu como dropper, lançando o VShell — um trojan de acesso remoto (RAT) amplamente utilizado por hackers de língua chinesa — diretamente na memória, sem deixar rastros em disco.
A cadeia de ataque teve início com um script malicioso em Bash (download_backd.sh), responsável por implantar dois binários: dnsloger (associado ao SNOWLIGHT) e system_worker (ligado ao Sliver). Ambos foram usados para estabelecer persistência e comunicação com servidores de comando e controle (C2).
O estágio final envolveu o carregamento do VShell por meio de uma solicitação personalizada ao C2, o que permitiu controle remoto sobre o sistema invadido. O VShell possibilita execução de comandos, transferência de arquivos e coleta de informações sensíveis, operando com técnicas furtivas como uso de WebSockets e execução totalmente em memória.
Ameaça global e tensão geopolítica
Além das ações do UNC5174, a empresa de segurança TeamT5 identificou outro grupo chinês explorando falhas críticas em dispositivos Ivanti (CVE-2025-0282 e CVE-2025-22457) para disseminar o malware SPAWNCHIMERA. Esses ataques visaram setores em pelo menos 20 países, incluindo Estados Unidos, Reino Unido, Japão, Emirados Árabes, Coreia do Sul e França.
O cenário se intensifica com acusações da China contra os EUA. Segundo o porta-voz do Ministério das Relações Exteriores chinês, Lin Jian, a NSA teria conduzido ataques contra a infraestrutura crítica chinesa durante os Jogos Asiáticos de Inverno em Heilongjiang, comprometendo sistemas de defesa, finanças, telecomunicações e dados pessoais de cidadãos.
