Grupos de ciberespionagem ligados ao governo chinês estão reutilizando vulnerabilidades conhecidas e antigas, como Log4Shell (Log4j) e falhas em servidores IIS, para comprometer redes em operações de longo prazo contra alvos estratégicos em diversos países. As campanhas visam organizações dos setores público e privado, incluindo entidades ligadas a política externa, defesa, energia e infraestrutura crítica.
Segundo análises da Symantec, uma das campanhas identificadas teve como alvo uma organização americana envolvida em assuntos de política internacional. Os ataques ocorreram entre abril e maio de 2025, começando com varreduras automatizadas em busca de falhas como CVE-2021-44228 (Log4j), CVE-2017-9805 (Apache Struts) e CVE-2022-26134 (Atlassian Confluence). Embora esses exploits não tenham funcionado em um primeiro momento, os atacantes conseguiram acesso à rede por meio de força bruta e técnicas de stuffing de credenciais. Após invadir o ambiente, executaram comandos de reconhecimento, configuraram tarefas agendadas maliciosas e estabeleceram comunicação com servidores de comando e controle usando ferramentas nativas como msbuild.exe.
Em uma das campanhas, os hackers empregaram DLL sideloading com arquivos legítimos de antivírus (vetysafe.exe) para carregar um malware do tipo Remote Access Trojan (RAT), conhecido como DeedRAT. Essa técnica já havia sido usada por grupos como Salt Typhoon (também identificado como Kelp) e Space Pirates, todos com histórico de atuação atribuída à China. As ferramentas utilizadas nas campanhas incluem Godzilla web shell, GotoHTTP, Mimikatz, e HIDDENDRIVER, além de outros utilitários para extração de credenciais, persistência e movimentação lateral. A infraestrutura e os artefatos indicam compartilhamento entre múltiplos grupos chineses, dificultando a atribuição precisa.
