O grupo de ciberespionagem APT41, ligado ao Estado chinês, foi identificado em uma nova campanha direcionada a serviços de TI governamentais na África, marcando uma mudança de foco geográfico em suas operações. A investigação, conduzida pela Kaspersky, revelou o uso de servidores internos como o SharePoint para comandos maliciosos, além de técnicas sofisticadas para manter o acesso e dificultar a detecção.
Os hackers exploraram um host não monitorado para executar módulos do Impacket, como Atexec e WmiExec, escalando privilégios com credenciais roubadas e movimentando-se lateralmente dentro da rede. O grupo utilizou o Cobalt Strike por meio de DLLs carregadas lateralmente, com checagem de idioma para evitar infectar sistemas com pacotes linguísticos de Japão, Coreia do Sul e China.
Arquivos como “agents.exe” e “agentx.exe” e trojans em C#, foram distribuídos via protocolo SMB para executar comandos vindos de uma web shell instalada no SharePoint (CommandHandler.aspx). Além disso, a campanha envolveu HTAs maliciosos com JavaScript, baixados por meio de links que imitavam domínios legítimos como “github.githubassets[.]net”, com objetivo de abrir shells reversos nos sistemas-alvo. O grupo demonstra habilidade em adaptar seus malwares à infraestrutura das vítimas e usar serviços internos como canais de comando e exfiltração, misturando ferramentas de testes legítimos (como Impacket e Cobalt Strike) com código malicioso personalizado.
