A Check Point Research (CPR) revelou novos detalhes sobre a evolução das operações do grupo de ciberespionagem Ink Dragon. Em causa está um ator avançado associado à República Popular da China. Aliás, que tem vindo a expandir significativamente a sua atividade para redes governamentais europeias.
Nesse sentido, a investigação mostra que o Ink Dragon já não se limita a comprometer organizações para fins de espionagem pontual. Em vez disso, está a converter servidores comprometidos em nós de comunicação. Aí, utilizando as próprias vítimas como parte de uma infraestrutura distribuída de comando e controlo. Em si, capaz de suportar operações em múltiplos países e continentes.
Da intrusão silenciosa à reutilização estratégica das vítimas
Ativo pelo menos desde 2023, o Ink Dragon tem um historial consistente de ataques a entidades governamentais, telecomunicações e infraestruturas públicas. Ainda que inicialmente no Sudeste Asiático e na América do Sul.
Nos últimos meses, a Check Point Research observou uma clara intensificação das campanhas na Europa. Agora, com vários incidentes confirmados em organismos governamentais europeus.
Uma das características mais marcantes destas campanhas é a forma como o grupo reutiliza os ambientes comprometidos. Em vez de tratar cada vítima como um alvo isolado, o Ink Dragon integra servidores comprometidos numa rede de retransmissão furtiva, permitindo que o tráfego malicioso passe por organizações legítimas antes de chegar ao destino final.
Em suma, este modelo dificulta significativamente a deteção, uma vez que o tráfego malicioso se confunde com comunicações normais entre organizações.
Exploração de falhas conhecidas continua a abrir portas a ataques avançados
Em primeiro lugar, a investigação da CPR revela que o Ink Dragon continua a explorar falhas de configuração antigas e bem documentadas em servidores Microsoft IIS e SharePoint. Isto para obter acesso inicial.
Assim sendo, entre as técnicas mais comuns estão:
- Exploração de ViewState deserialization em aplicações ASP.NET mal configuradas
- Abuso da vulnerabilidade ToolShell em ambientes SharePoint on-premises
Porém, apesar de estas falhas serem amplamente conhecidas, continuam a estar presentes em muitos ambientes. Desse modo, permitindo que atacantes avançados obtenham acesso inicial de forma discreta e eficaz.
Ademais, após a intrusão inicial, o grupo move-se lateralmente, recolhe credenciais existentes e procura rapidamente alcançar privilégios de administrador de domínio. Isto a partir dos quais consolida o controlo do ambiente.
Vítimas transformadas em relés de ataque globais, aponta a Check Point
Seguidamente, um dos aspetos mais preocupantes da campanha é a utilização de um módulo malicioso integrado no IIS. Em si baseado na plataforma ShadowPad, que permite transformar servidores públicos em pontos de retransmissão invisíveis.
Na prática, isto significa que:
- Um servidor governamental comprometido na Europa pode estar a encaminhar tráfego malicioso para ataques em África ou na Ásia
- Cada nova vítima fortalece a infraestrutura global do atacante
- A origem real dos ataques fica ocultada por múltiplas camadas de retransmissão
Em suma, este modelo cria uma rede viva e dinâmica, onde cada intrusão aumenta a resiliência e o alcance das operações de espionagem.
Novas ferramentas reforçam furtividade e persistência, diz a Check Point
De igual modo, a CPR identificou também uma evolução significativa no conjunto de ferramentas utilizadas pelo Ink Dragon. Aliás, aqui incluindo uma nova variante do backdoor FinalDraft.
Note-se ainda que esta versão foi desenhada para manter acesso a longo prazo e ocultar comunicações maliciosas dentro de serviços cloud legítimos. Aliás, nomeadamente através da API do Microsoft Graph.
Entre as principais capacidades observadas estão:
- Comunicações de comando e controlo disfarçadas como rascunhos de email
- Controlo rigoroso de horários de atividade para imitar padrões normais de trabalho
- Transferência eficiente de grandes volumes de dados
- Recolha detalhada de informação sobre sistemas e utilizadores
Estas melhorias demonstram um foco claro em operações de longo prazo, com elevada furtividade e baixo ruído operacional.
Múltiplos grupos exploram a mesma falha, afirma a Check Point
Durante a investigação, a Check Point Research identificou ainda atividade de um segundo grupo de ciberespionagem, conhecido como RudePanda, em alguns dos mesmos ambientes comprometidos pelo Ink Dragon. Embora os grupos não estejam relacionados, ambos exploraram a mesma vulnerabilidade exposta em servidores públicos, demonstrando como uma única falha não corrigida pode atrair vários atores avançados em simultâneo.
Este cenário reforça a importância crítica da gestão de patches e da monitorização contínua de sistemas expostos à Internet.
Segundo Rui Duro, Country Manager para Portugal da Check Point Software: “O Ink Dragon já não se limita a infiltrar redes. Está a transformá-las silenciosamente numa infraestrutura internacional de comando e controlo. Cada servidor comprometido passa a fazer parte de uma malha maior que esconde o tráfego malicioso dentro de comunicações web aparentemente normais. Para os defensores, isto significa que uma intrusão não pode ser tratada como um incidente isolado, mas como um possível nó de uma rede hostil muito mais vasta.”
A resposta
As campanhas mais recentes do Ink Dragon demonstram uma mudança clara no modelo de ciberespionagem estatal. As vítimas deixam de ser apenas fontes de informação e passam a ser ativos operacionais, reutilizados para suportar ataques noutras geografias.
Em suma, para as organizações, em particular no setor público, isto implica que a deteção e resposta a incidentes devem ir além da limpeza local. Por isso, é essencial identificar e desmantelar toda a cadeia de retransmissão, sob pena de a infraestrutura comprometida continuar a ser utilizada em operações globais.
Por fim, a Check Point Research continua a monitorizar de perto a atividade do Ink Dragon e a fornecer inteligência acionável para ajudar organizações a detetar, conter e interromper este tipo de ameaças avançadas.
Fica mais conectado: