Um sofisticado grupo de hackers com laços à China tem conduzido uma série de ataques coordenados desde 2023, mirando vulnerabilidades críticas em servidores SQL e sistemas SAP de organizações localizadas no Brasil, Índia e diversas nações do Sudeste Asiático.
Segundo análise da empresa de segurança Trend Micro, os invasores exploram falhas de injeção de SQL em aplicações web como porta de entrada para os servidores das vítimas. O coletivo, monitorado sob o nome Earth Lamia, também explora uma série de brechas já conhecidas para atacar servidores expostos à internet.
Os alvos geográficos se concentram em países como Indonésia, Malásia, Filipinas, Tailândia e Vietnã. Entre os setores impactados estão empresas de tecnologia, universidades, instituições financeiras e entidades governamentais.
Táticas e ferramentas empregadas
Os ataques geralmente começam com a identificação de servidores Microsoft SQL vulneráveis, seguidos pela implantação de kits pós-exploração como Cobalt Strike e Supershell. O grupo também utiliza túneis proxy, como Rakshasa e Stowaway, para infiltrar-se mais profundamente nas redes corporativas.
Ferramentas adicionais usadas incluem:
- GodPotato e JuicyPotato para elevação de privilégios;
- Fscan e Kscan para mapeamento de rede;
- wevtutil.exe, utilitário legítimo do Windows, usado para apagar registros de eventos e ocultar rastros.
Embora algumas tentativas de implantar o ransomware Mimic tenham sido observadas, muitas delas falharam, e os operadores chegaram a deletar os arquivos após não obter sucesso na execução.
Exploração de múltiplas vulnerabilidades
Um dos episódios mais marcantes envolve a exploração do CVE-2025-31324 — uma falha de upload de arquivos não autenticado no SAP NetWeaver — usada para estabelecer shells reversos. Essa vulnerabilidade foi aproveitada para garantir acesso remoto e persistente aos sistemas atacados.
Além disso, outras oito falhas críticas foram identificadas nas investigações:
- CVE-2017-9805 (Apache Struts2 – Execução remota de código)
- CVE-2021-22205 (GitLab – Execução remota de código)
- CVE-2024-9047 (Plugin WordPress – Acesso a arquivos)
- CVE-2024-27198 / CVE-2024-27199 (JetBrains TeamCity – Autenticação e path traversal)
- CVE-2024-51378 / CVE-2024-51567 (CyberPanel – Execução remota de código)
- CVE-2024-56145 (Craft CMS – Execução remota de código)
Evolução dos alvos
Inicialmente focado em instituições financeiras, o grupo ampliou suas operações no segundo semestre de 2024 para empresas de logística e comércio eletrônico. Em 2025, a mira se voltou para o setor de tecnologia, ensino superior e órgãos públicos, demonstrando uma clara expansão estratégica.
Desenvolvimento de backdoors personalizados
Um dos diferenciais do Earth Lamia é o uso de backdoors customizados, como o PULSEPACK, que opera via carregamento lateral de DLLs — tática comum entre grupos de origem chinesa. Essa ferramenta modular em .NET permite recuperar plugins diretamente de servidores remotos para executar tarefas específicas.
Em março de 2025, os analistas da Trend Micro identificaram uma nova versão do PULSEPACK com comunicação C2 (comando e controle) alterada de TCP para WebSocket, indicando um esforço contínuo de desenvolvimento.
Conclusão
A atuação do Earth Lamia mostra-se cada vez mais ousada e abrangente. Com um arsenal de falhas conhecidas, técnicas avançadas de infiltração e ferramentas personalizadas, o grupo mantém um padrão evolutivo que representa sérios riscos para empresas e governos. O monitoramento constante e a aplicação de correções emergenciais são cruciais para evitar comprometimentos.
