Cibersegurança

PurpleHaze: grupo chinês ataca mais de 70 organizações globais

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
imagem de hacker

Grupo chinês PurpleHaze ataca mais de 70 organizações em operação global de espionagem cibernética

Mais de 70 organizações em diversos setores foram alvos de uma sofisticada campanha de espionagem cibernética atribuída a um grupo avançado de ameaças persistentes (APT) ligado ao governo chinês. Segundo relatório da SentinelOne, a operação, em curso entre julho de 2024 e março de 2025, envolveu intrusões meticulosamente coordenadas, com o uso de ferramentas avançadas e exploits inéditos.

Conteúdo

Grupo chinês de espionagem cibernética ataca mais de 70 organizações em campanha global

Excesso de privilégios de usuários é a principal causa de ataques cibernéticos em empresas

Espionagem direcionada: empresas, governos e mídia na mira

A campanha atribuída ao grupo conhecido como PurpleHaze, com sobreposição a grupos APT como APT15 e UNC5174, teve como vítimas uma ampla gama de alvos. Entre os atingidos estão uma entidade governamental do Sul da Ásia, uma renomada organização de mídia europeia, além de empresas dos setores de manufatura, finanças, telecomunicações, logística e serviços de TI.

De acordo com os pesquisadores Aleksandar Milenkoski e Tom Hegel, da SentinelOne, os agentes conduziram operações de reconhecimento e exploração a partir de infraestrutura operada na China, visando especialmente servidores expostos à internet. Um dos alvos iniciais foi a própria empresa SentinelOne, cujos servidores foram mapeados em outubro de 2024 como preparação para ações mais invasivas.

“As atividades do agente da ameaça se limitaram a mapear e avaliar a disponibilidade de determinados servidores voltados para a internet, provavelmente em preparação para possíveis ações futuras”, afirma o relatório.

Técnicas e ferramentas utilizadas pelo PurpleHaze

A cadeia de ataques envolveu a exploração de vulnerabilidades recém-divulgadas, como a CVE-2024-8963 e CVE-2024-8190, antes mesmo de sua publicação oficial. O grupo se aproveitou dessas falhas para estabelecer uma posição inicial nos sistemas comprometidos e, posteriormente, compartilhar o acesso com outros agentes de ameaça.

Entre as ferramentas utilizadas destaca-se o uso do ShadowPad, um backdoor modular sofisticado frequentemente associado a grupos chineses. Em alguns casos, ele foi ofuscado por outro componente chamado ScatterBrain, dificultando a detecção por sistemas de segurança.

Já em ataques subsequentes, especialmente em outubro de 2024 e janeiro de 2025, os agentes empregaram o GoReShell, um shell reverso escrito em Go que utiliza SSH para manter o controle sobre os sistemas infectados. Essa ferramenta foi observada tanto em ataques a organizações de mídia quanto em empresas de logística associadas à cadeia de suprimentos da SentinelOne.

Além disso, os cibercriminosos abusaram, pela primeira vez, de softwares originalmente desenvolvidos pelo grupo de especialistas em segurança The Hacker’s Choice (THC) — um indicativo preocupante de como ferramentas legítimas estão sendo deturpadas para fins maliciosos por atores estatais.

Campanha é dividida em seis frentes distintas

A investigação identificou seis clusters distintos de atividade maliciosa, datando desde junho de 2024. Cada um está relacionado a diferentes fases ou alvos da campanha global:

  • Atividade A: intrusão em entidade governamental do Sul da Ásia.
  • Atividade B: ataques em larga escala a múltiplas organizações internacionais.
  • Atividade C: violação em empresa de logística ligada à SentinelOne.
  • Atividade D: novo ataque à mesma entidade governamental.
  • Atividade E: mapeamento dos servidores da SentinelOne.
  • Atividade F: ataque a organização de mídia europeia.

A SentinelOne agrupa as atividades D, E e F sob o nome PurpleHaze, observando correlações claras entre as táticas, técnicas e infraestrutura utilizada.

Perspectivas e riscos para o futuro

O relatório reforça o alerta sobre a crescente sofisticação das campanhas de espionagem patrocinadas por Estados, especialmente a China. O uso de exploits zero-day, compartilhamento de acesso entre diferentes grupos e o aproveitamento de falhas críticas antes de sua divulgação pública demonstram o alto grau de coordenação e recursos envolvidos.

Para empresas e governos, a lição é clara: é urgente reforçar políticas de segurança da informação, atualizar sistemas críticos e adotar abordagens proativas como threat hunting e zero trust.

A campanha também expõe a importância de proteger a cadeia de suprimentos digital, já que empresas terceirizadas — como provedores de logística ou serviços de TI — se tornam alvos indiretos de ameaças voltadas a organizações maiores.

TAGGED:
Compartilhe este artigo
Artigo anterior Menu de aplicativos do Linux Mint 22.2 com tema escuro e ícones organizados por categorias. Linux Mint: EOL da série 20.x, autenticação por impressão digital e novidades no Mint 22.2
Próximo artigo iOS 26 da Apple em um iPhone com design atualizado e apps renovados iOS 26: saiba qual iPhone vai receber ou ficar de fora do update
Apple

iOS 26: Apple eleva a experiência do iPhone com novo design, inteligência artificial e recursos aprimorados

iOS 26 é lançado oficialmente pela Apple confira todas as novidades, quais modelos de iphone vão receber a atualização e os que não vão.

A Apple revoluciona o iPhone com iOS 26: novo design Liquid Glass, Apple Intelligence, melhorias em apps e recursos avançados!

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto