Um grupo com fortes indícios de vínculos com o governo chinês, especializado em espionagem, tem em sua mira empresas brasileiras ligadas a governo, tecnologia, manufatura, logística, telecomunicações e serviços de TI. É o que revela um boletim da ISH Tecnologia, referência nacional em cibersegurança, que detalha o funcionamento de um sofisticado conjunto de ferramentas de intrusão utilizadas pelo grupo conhecido como Earth Alux.
A pesquisa revela como o Earth Alux atua de forma furtiva, com foco em ciberespionagem de longo prazo. O grupo mantém persistência em sistemas comprometidos e extrai dados sensíveis de forma contínua — sem exigir resgates ou causar danos evidentes, como ocorre em ataques de ransomware.
O boletim da ISH destaca quatro ferramentas principais usadas pelo grupo:
Godzilla: webshell avançada usada para manter o acesso remoto após a invasão inicial, com alta capacidade de evasão.
MasqLoader: loader malicioso que aplica técnicas como DLL Side-Loading e anti-análise para carregar backdoors.
RSBinject: ferramenta de injeção de código em memória, evitando escrita em disco e dificultando a detecção.
RailSetter: módulo de persistência que emprega técnicas como Timestomping e criação de tarefas agendadas disfarçadas.
A análise mostra ainda que o Earth Alux utiliza backdoors como VARGEIT e Cobeacon, que se comunicam com servidores C2 por meio de múltiplos protocolos, incluindo HTTP, DNS, ICMP e MAPI. O grupo também se apoia em buckets de nuvem próprios para exfiltrar dados, e reutiliza infraestrutura em campanhas distintas, o que sugere um alto grau de coordenação e controle sobre os ativos operacionais.
“Essa campanha não visa lucro direto. Trata-se de espionagem patrocinada, com objetivos estratégicos muito claros. O Brasil está no radar do grupo, e é fundamental que organizações nacionais estejam cientes dessa ameaça”, alerta Gustavo Santos, Pesquisador de Malware da ISH.
A recomendação da ISH é que empresas que atuam nos setores mais visados revisem suas políticas de segurança, monitorem atividades anômalas e estejam atentas a indicadores de comprometimento (IOCs) divulgados no boletim técnico completo, disponível no site da empresa.
