Uma campanha de espionagem cibernética de longo prazo foi atribuída a um grupo chinês conhecido como UnsolicitedBooker, que tem mirado uma entidade internacional sediada na Arábia Saudita desde 2023. Segundo relatório da empresa de segurança ESET, os ataques mais recentes ocorreram em janeiro de 2025, demonstrando o comprometimento contínuo do grupo em infiltrar-se nessa organização específica.
MarsSnake: o backdoor exclusivo da campanha
O ponto central dos ataques foi o uso de um backdoor anteriormente desconhecido, batizado de MarsSnake. Esse malware permite comunicação remota com servidores de comando e controle, e foi implantado por meio de um carregador executado após a abertura de documentos do Word contaminados. Esses documentos, distribuídos por spear phishing, simulavam passagens aéreas falsas da companhia Saudia Airlines, sendo baseados em arquivos de pesquisa hospedados em plataformas acadêmicas.
Ao serem abertos, os arquivos ativam macros VBA que decodificam e instalam silenciosamente o executável smssdrvhost.exe, responsável por carregar o MarsSnake e estabelecer conexão com o domínio malicioso contact.decenttoy[.]top.
Técnica de phishing com disfarce de reserva aérea
A abordagem usada pelo UnsolicitedBooker envolve e-mails cuidadosamente forjados com temática de viagem, como reservas de voo, que parecem legítimos à primeira vista. Essa estratégia já havia sido observada em campanhas anteriores contra alvos governamentais na Ásia, África e Oriente Médio.
Relações com outros grupos cibercriminosos chineses
A ESET observa que o UnsolicitedBooker compartilha táticas com agrupamentos como Space Pirates e outros agentes não identificados anteriormente vinculados à China, como os que implantaram o backdoor Zardoor em organizações islâmicas sauditas. Ferramentas amplamente conhecidas em operações de espionagem chinesa, como Chinoxy, DeedRAT, Poison Ivy e BeRAT, também foram utilizadas nas ofensivas.
Outros grupos chineses em atividade na Europa
Além da atuação no Oriente Médio, a ESET revelou ataques recentes do grupo PerplexedGoblin (ou APT31) contra uma entidade governamental da Europa Central. Em dezembro de 2024, os hackers implantaram um malware de espionagem chamado NanoSlate, demonstrando a amplitude das operações chinesas.
Outro ator identificado, o DigitalRecyclers, também ligado à China e ativo desde ao menos 2018, continua explorando alvos na União Europeia. O grupo faz uso da rede de retransmissão ORB da KMA VPN para encobrir seu tráfego e utiliza implantes como RClient, GiftBox e HydroRShell – este último usando protocolos como Google Protobuf e Mbed TLS para proteger comunicações com os servidores de comando.
Conclusão
As atividades descritas pela ESET evidenciam uma campanha de espionagem persistente e altamente direcionada por parte de grupos alinhados ao governo chinês. Com métodos sofisticados e backdoors inéditos, essas operações mostram como o ciberespaço permanece sendo um campo de disputa silenciosa, especialmente em regiões estratégicas como o Oriente Médio e a Europa.
