A Check Point Research identificou a “Silver Dragon”, uma operação de ciberespionagem de origem chinesa, possivelmente ligada ao grupo APT41. Ativa desde meados de 2024, a campanha foca em organizações governamentais e do setor público no Sudeste Asiático e na Europa, com uma estratégia que prioriza a discrição e a coleta de inteligência de longo prazo, utilizando táticas que evadem defesas tradicionais.
O grupo combina exploração de servidores, phishing e malwares customizados para estabelecer acesso persistente, o diferencial da operação é o uso do backdoor “GearDoor”, que utiliza o Google Drive como canal de comando e controle (C2). Como o tráfego para plataformas de nuvem costuma ser considerado confiável pelas empresas, a atividade maliciosa se mistura perfeitamente ao uso legítimo do SaaS.
Para garantir a persistência, o Silver Dragon explora serviços nativos do Windows, como o Windows Update e o .NET ClickOnce, para carregar códigos maliciosos sob nomes confiáveis. “A campanha representa a tendência da espionagem moderna, escondendo-se em serviços legítimos do Windows e plataformas como o Google Drive”, aponta Sergey Shykevich, gerente de Inteligência de Ameaças da Check Point Software.
A vigilância pós-exploração é reforçada pelo “SilverScreen”, um implante furtivo que captura telas apenas quando ocorrem mudanças visuais significativas, minimizando ruídos no sistema. Além disso, a carga final frequentemente entrega beacons do Cobalt Strike via tunelamento DNS ou HTTP, mascarando ainda mais a comunicação com os invasores em ambientes governamentais complexos.
De acordo com Shykevich, a segurança não pode mais tratar componentes do sistema operacional como inerentemente seguros. Para governos e instituições, isso eleva a necessidade de visibilidade de endpoints e monitoramento rigoroso de serviços em nuvem, a recomendação inclui a aplicação rápida de patches em servidores expostos e o fortalecimento das defesas de e-mail contra vetores de phishing.
A atribuição ao grupo chinês baseia-se em semelhanças técnicas de instalação, padrões operacionais e indicadores temporais alinhados ao fuso horário da China. A operação demonstra que atores estatais estão abandonando infraestruturas próprias para se inserirem em ecossistemas corporativos legítimos, prolongando o tempo de permanência nas redes sem serem detectados.
“O futuro da defesa depende de prevenção e visibilidade integrada entre ambientes, capaz de identificar abusos mesmo quando parecem legítimos”, conclui Shykevich. Para lideranças executivas, o risco agora inclui o uso sutil de componentes centrais do sistema, exigindo que o monitoramento abranja desde a atividade interna de rede até serviços autorizados na nuvem.
