O notório grupo de hackers chinês FamousSparrow, responsável por uma série de ataques digitais nos últimos anos, está de volta com novas ameaças, demonstrando que permanece ativo.
Uma investigação recente da ESET revelou evidências de que o grupo executou três ataques distintos em diferentes regiões do globo em 2024, mirando:
- Uma associação comercial nos Estados Unidos.
- Um instituto de pesquisa no México.
- Uma instituição governamental em Honduras.
Aprimoramento e Distribuição de Backdoors
O principal objetivo do grupo é a distribuição de seus backdoors mais importantes, o SparrowDoor e o ShadowPad. Essa realidade é alarmante para autoridades internacionais devido ao risco potencial de vazamento de informações sigilosas.
A ESET concluiu que o grupo de ciberespionagem, que esteve “adormecido” entre 2022 e 2024, provavelmente usou esse tempo para aprimorar significativamente suas táticas. Os especialistas destacam que “Ambas as versões [do backdoor] representam um progresso considerável em relação às anteriores e implementam paralelização de comandos.”
Táticas de Infiltração Recentes
Os ataques mais recentes coordenados pelo FamousSparrow envolveram a distribuição de um web shell em um servidor do Internet Information Services (IIS) da Microsoft.
Os pesquisadores observaram que duas das vítimas estavam utilizando versões desatualizadas do Windows Server e do Microsoft Exchange Server. No entanto, o método exato de infiltração dos criminosos no sistema ainda é desconhecido.
Na prática, o web shell serve como um canal para enviar um script em lote a partir de um servidor remoto. Este script, por sua vez, inicia um comando codificado em Base64, que é o responsável por infectar o dispositivo com os dois backdoors do grupo.
Histórico de Ciberespionagem
Identificado inicialmente em 2021, o FamousSparrow ganhou notoriedade por uma série de ataques contra hotéis, empresas de engenharia, escritórios de advocacia e órgãos governamentais. Naquela época, o grupo utilizava apenas o SparrowDoor, um backdoor que desenvolveram por conta própria, o que já era um fato surpreendente.
Desde então, o FamousSparrow firmou sua reputação por empregar táticas de ciberespionagem para roubar dados confidenciais de suas vítimas. Não há, no momento, mais informações sobre futuras ações que o grupo possa estar planejando.
