Um grupo de ameaça cibernética, alinhado à China e apelidado de LongNosedGoblin, tem realizado ataques direcionados a entidades governamentais no Sudeste Asiático e no Japão, com o objetivo de espionagem cibernética, conforme relatório da empresa de segurança eslovaca ESET. A atividade do grupo foi identificada desde setembro de 2023.
O LongNosedGoblin utiliza a Política de Grupo do Windows para distribuir malware em redes comprometidas, além de empregar serviços em nuvem, como Microsoft OneDrive e Google Drive, para controle e comando. As ferramentas personalizadas do grupo incluem aplicativos C#/.NET, como o NosyHistorian, que coleta histórico de navegação de navegadores como Google Chrome, Microsoft Edge e Mozilla Firefox, e o NosyDoor, um backdoor que usa o OneDrive para executar comandos e exfiltrar dados.
A ESET detectou pela primeira vez a atividade do grupo em fevereiro de 2024, em um sistema de uma entidade governamental no Sudeste Asiático. Foi observado que a Política de Grupo foi utilizada para entregar malware a múltiplos sistemas da mesma organização. Embora muitos alvos tenham sido afetados pelo NosyHistorian entre janeiro e março de 2024, apenas alguns foram infectados pelo NosyDoor, indicando uma abordagem mais seletiva.
Além das ferramentas mencionadas, o grupo também utiliza um proxy SOCKS5 reverso, um utilitário para gravação de áudio e vídeo, e um carregador Cobalt Strike. A ESET observou semelhanças entre as táticas do LongNosedGoblin e outros grupos como ToddyCat e Erudite Mogwai, mas não encontrou evidências conclusivas de ligação entre eles.
O relatório sugere que o malware pode ser vendido ou licenciado para outros grupos de ameaça, devido às semelhanças entre o NosyDoor e o LuckyStrike Agent, e a presença da frase “Paid Version” no caminho PDB do LuckyStrike Agent. Uma variante do NosyDoor foi identificada em um ataque a uma organização na União Europeia, utilizando o serviço Yandex Disk como servidor de comando e controle.
Fonte:https://thehackernews.com/2025/12/china-aligned-threat-group-uses-windows.html
Slug: grupo-ameaca-china-espionagem-windows
