A ameaça UNC5221, ligada a grupos de ciberataque da China, tem se mostrado cada vez mais sofisticada ao utilizar novos malwares como Plenet e AgentPSD: além do já conhecido Brickstorm. O grupo,ativo desde 2023, tem explorado vulnerabilidades zero-day em dispositivos de borda e adotado técnicas avançadas para manter acesso a redes comprometidas por períodos extensos - alguns casos chegando a 18 meses.

E
Ilustração da matéria na fonte

Ameaça chinesa evolui com novos malwares para manter acesso prolongado

  • Plenet

Malware projetado para persistência e coleta de dados sensíveis.

  • AgentPSD

Ferramenta de controle remoto com capacidade de exfiltrar informações.

  • Brickstorm

Já identificado anteriormente, mas agora com atualizações que aumentam sua eficácia.

Essas ameaças destacam a necessidade de monitoramento contínuo e atualizações constantes de segurança, especialmente em infraestruturas críticas. Empresas e organizações devem estar atentas a sinais de atividade suspeita e investir em ferramentas de detecção e resposta a incidentes (EDR).

Táticas de persistência e exploração de vulnerabilidades

A utilização de vulnerabilidades zero-day é uma estratégia comum entre grupos de ciberataque de alto nível, pois permite o acesso sem que as defesas sejam alertadas.

Além disso,os ataques são frequentemente direcionados a setores estratégicos, como tecnologia, energia e governamental. A persistência no acesso é alcançada por meio de técnicas como persistência no sistema, criptografia de comunicação e falsificação de certificados digitais.

  • Uso de vulnerabilidades zero-day para invasão inicial.

  • Comunicações criptografadas para evitar detecção.

Impacto na indústria e recomendações para mitigação

O uso de malware de longa duração por parte de grupos como o UNC5221 representa um risco significativo para empresas e governos. A capacidade de manter acesso por até 18 meses permite que os atacantes coletem grandes volumes de dados, incluindo informações sensíveis e estratégias competitivas.

Empresas devem revisar suas políticas de segurança e implementar medidas como monitoramento em tempo real: atualizações automáticas e auditorias regulares. Além disso,a formação de equipes de segurança e a colaboração com fornecedores de segurança são essenciais para mitigar os riscos.

  • Revisão constante de políticas de segurança.

  • Treinamento de equipes de TI e segurança. — O caso do UNC5221 reforça a necessidade de uma abordagem proativa em segurança cibernética. Com a crescente complexidade das ameaças, empresas e governos precisam investir em soluções robustas e adaptáveis. A persistência dos ataques indica que os atacantes estão preparados para longos períodos de operação,o que exige vigilância constante e resposta ágil.

O aumento no número de ataques com malware de longa duração também sinaliza uma mudança na estratégia dos grupos de ciberataque, priorizando a duração do acesso em vez de ações imediatas. Isso pode levar a consequências mais graves, como vazamentos de dados e perda de confiança em sistemas críticos.