São Paulo — InkDesign News —
Uma operação sofisticada de espionagem cibernética ligada à China e ativa desde pelo menos 2022 foi exposta recentemente por pesquisadores da ESET. A atuação avançada do grupo denominado TheWizards envolve vulnerabilidades em atualizações de software através de manipulação do protocolo IPv6, comprometendo redes por meio do backdoor WizardNet.
Incidente e vulnerabilidade
O grupo TheWizards emprega uma ferramenta customizada chamada Spellbinder para executar ataques do tipo adversary-in-the-middle (AitM). Utilizando o protocolo IPv6 SLAAC (Stateless Address Autoconfiguration), o Spellbinder envia mensagens forjadas ICMPv6 Router Advertisement (RA) que convencem os sistemas vítimas a redirecionar o tráfego legítimo para servidores sob controle dos invasores. Esse método permite interceptar e manipular atualizações autênticas de software de empresas chinesas como Tencent, Baidu e Xiaomi, redirecionando-as para versões infectadas que instalam o backdoor modular WizardNet. Essa ferramenta utiliza a biblioteca WinPcap para captura e manipulação de pacotes, explorando a descoberta de rede IPv6.
“Spellbinder manipula o tráfego de rede via IPv6 SLAAC spoofing, interceptando atualizações legítimas de software chinês e redirecionando para servidores controlados pelo atacante”
(“Spellbinder manipulates network traffic via IPv6 SLAAC spoofing, intercepting legitimate Chinese software updates and redirecting them to attacker-controlled servers”)— ESET, Análise Técnica
Impacto e resposta
O WizardNet, backdoor modular distribuído pelo TheWizards, possibilita a execução remota de módulos maliciosos, ampliando a capacidade de infiltração e coleta de dados. A técnica de side-loading é usada para executar o código malicioso, perpetuando o ataque após a infecção inicial. Em 2024, uma campanha notória redirecionou atualizações do Tencent QQ para um servidor do atacante, onde foi baixado um pacote comprometido. A abrangência geográfica das vítimas inclui Filipinas, Camboja, Emirados Árabes Unidos, China continental e Hong Kong, abrangendo desde indivíduos até empresas de jogos de azar e outras organizações ainda não identificadas.
“TheWizards demonstram a persistência e evolução das técnicas de espionagem, destacando o risco contínuo para entidades que dependem de sistemas vulneráveis”
(“TheWizards demonstrate the persistence and evolution of espionage techniques, highlighting the ongoing risk to entities relying on vulnerable systems”)— Analista de Segurança, ESET
Mitigações recomendadas
Para mitigar esses ataques, é crucial a aplicação cuidadosa de patches que atualizam e corrigem falhas no uso de protocolos IPv6, especialmente no controle das mensagens ICMPv6 RA. Restringir o uso de side-loading e implementar verificações de integridade nas atualizações de software ajuda a reduzir a exposição. Recomenda-se monitoramento contínuo do tráfego de rede e aplicação de filtros para detectar respostas DNS falsas e alterações inesperadas em gateways de rede. A conscientização sobre essas técnicas é vital para fortalecer a postura defensiva contra ameaças avançadas.
A integração de políticas que desestimulem o uso indiscriminado do protocolo IPv6 em ambientes críticos pode ser uma medida provisória até a completa correção. Validar canais de atualização e usar criptografia forte para comunicação com servidores legítimos são práticas recomendadas.
Este caso expõe a vulnerabilidade inerente a mecanismos de atualização confiáveis e reforça a necessidade de estratégias proativas para combater ataques sofisticados e em evolução, especialmente em contextos geopoliticamente sensíveis.
Fonte: (Hack Read – Segurança Cibernética)
