ESET descobre novos ataques de ciberespionagem do grupo chinês FamousSparrow nos EUA, México e Honduras, e alerta para risco no Brasil

ESET descobre novos ataques de ciberespionagem do grupo chinês FamousSparrow nos EUA, México e Honduras, e alerta para risco no Brasil

20/05/2025 0 Por FolhadaSegurança

Grupo de ciberespionagem chinês. Pesquisadores identificaram duas versões inéditas do backdoor SparrowDoor e o uso inédito do ShadowPad em uma campanha que afeta instituições financeiras, governamentais e acadêmicas

São Paulo, maio 2025 – ESET, empresa líder em detecção proativa de ameaças, alerta para novos ataques do grupo chinês de ciberespionagem FamousSparrow, que comprometeu redes nos Estados Unidos, México e Honduras, e que pode voltar a mirar o Brasil, onde já atacou órgãos governamentais, hotéis e escritórios de advocacia. A investigação mais recente identificou duas versões inéditas do backdoor SparrowDoor, além do uso do conhecido ShadowPad – observado pela primeira vez em operações atribuídas ao grupo.

Descobertas durante a análise de incidente em organização financeira nos EUA

As descobertas ocorreram durante a análise de uma atividade suspeita em uma organização financeira norte-americana. Enquanto auxiliavam na remediação do incidente, os especialistas da ESET detectaram a presença de ferramentas maliciosas associadas ao FamousSparrow, grupo que não registrava movimentações públicas desde 2022 e era considerado inativo.

Atividade contínua do grupo e ataques recentes

Leia também: Thales aponta tendências da cibersegurança na AL

O relatório da ESET mostra, no entanto, que o grupo permaneceu ativo e desenvolvendo novos recursos ao longo dos últimos anos. Os ataques no México e nos EUA, por exemplo, ocorreram em junho de 2024, com poucos dias de diferença. Ambos envolveram versões atualizadas do SparrowDoor, que representam avanços consideráveis em arquitetura e qualidade de código, incluindo a paralelização de comandos – recurso que permite a execução simultânea de múltiplas tarefas maliciosas.

Melhoria nas versões do malware SparrowDoor

“As novas versões apresentam melhorias significativas, mas ainda mantêm vínculos diretos com versões anteriores já documentadas. Os loaders utilizados também têm sobreposição de código com amostras atribuídas ao FamousSparrow”, explica Alexandre Côté Cyr, pesquisador da ESET responsável pela descoberta.

Vetores de ataque e vulnerabilidades exploradas

Segundo os especialistas, o grupo obteve acesso inicial aos ambientes comprometidos por meio da instalação de webshells em servidores IIS vulneráveis. Embora não tenha sido possível determinar o vetor de exploração exato, foi constatado que as vítimas utilizavam versões desatualizadas do Windows Server e do Microsoft Exchange – alvos comuns de exploits amplamente divulgados.

Ferramentas e malwares empregados na campanha

A campanha do FamousSparrow empregou uma combinação de ferramentas próprias, malwares compartilhados por outros grupos APT chineses e softwares de código aberto. As cargas finais identificadas foram os backdoors SparrowDoor e ShadowPad. Esta é a primeira vez que o uso do ShadowPad pelo grupo é observado.

Funcionalidades dos malwares utilizados

Entre as funcionalidades dos malwares estavam a execução remota de comandos, operações no sistema de arquivos, captura de teclas (keylogging), transferência de arquivos, encerramento de processos, monitoramento de alterações no sistema e captura de telas.

Relação com outros grupos e independência do FamousSparrow

“Trata-se do primeiro relato público que associa esses dois grupos. Contudo, nossos dados indicam que GhostEmperor e FamousSparrow são entidades distintas. Existem poucas semelhanças entre eles e diversas divergências. O FamousSparrow é, ao que tudo indica, um grupo independente, ainda que com vínculos tênues com outros clusters chineses,” explica Cyr.

Histórico e evolução do grupo FamousSparrow

Ativo desde pelo menos 2019, o FamousSparrow foi documentado pela primeira vez pela ESET em 2021, quando explorava a vulnerabilidade ProxyLogon. Inicialmente voltado a alvos na indústria hoteleira global, o grupo passou a focar também em governos, organizações internacionais, empresas de engenharia e escritórios de advocacia. Até o momento, é o único grupo conhecido a utilizar o backdoor SparrowDoor.

Visão geral da cadeia de comprometimento utilizada nesta campanha do FamousSparrow

Grupo de ciberespionagem chinês
Visão geral da cadeia de comprometimento utilizada nesta campanha do FamousSparrow

Risco para o Brasil

De acordo com Daniel Barbosa, pesquisador de segurança da ESET Brasil, há possibilidade real de que o Brasil volte a ser alvo do grupo. “No passado, o FamousSparrow já fez vítimas em território nacional, incluindo escritórios de advocacia, hotéis e órgãos governamentais. Considerando a diversidade de segmentos presentes no Brasil, o país definitivamente é um ponto de atenção para esse tipo de campanha”, alerta.

O uso recorrente de sistemas desatualizados, como o Windows Server e o Microsoft Exchange, também representa um risco adicional. “Ainda vemos muitas empresas brasileiras utilizando softwares antigos, muitos deles acessíveis publicamente. Isso abre espaço para a exploração de vulnerabilidades já conhecidas e documentadas”, destaca Barbosa.
 

A capacidade das instituições brasileiras, sejam elas do setor financeiro, governamental ou acadêmico, de identificar e mitigar ameaças como essa depende diretamente do nível de maturidade em cibersegurança. “Boa parte das invasões começa pela exploração de falhas em servidores web. Se a empresa não tiver monitoramento contínuo e uma política robusta de atualização de software, dificilmente conseguirá detectar ou impedir um ataque desse tipo”, explica o especialista.

Colaboração e compartilhamento de ferramentas entre grupos 

Ainda segundo Barbosa, a adoção de ferramentas compartilhadas como o ShadowPad revela a crescente colaboração entre grupos de ciberespionagem. “Cibercriminosos compartilham ferramentas, informações e até serviços, o que acelera muito a capacidade de evolução e ataque. Enquanto isso, muitas empresas ainda enfrentam desafios para amadurecer seus ambientes de segurança. É preciso que as organizações também colaborem entre si, compartilhando conhecimento para se protegerem melhor”, conclui o pesquisador.

Sobre a ESET

A ESET® oferece segurança digital de ponta para prevenir ataques antes que eles aconteçam. Ao combinar o poder da IA ​​e da experiência humana, a ESET® permanece à frente das ameaças cibernéticas conhecidas e emergentes, protegendo empresas, infraestruturas críticas e indivíduos. Quer se trate de proteção de endpoint, nuvem ou dispositivos móveis, suas soluções e serviços nativos de IA e baseados em nuvem são altamente eficazes e fáceis de usar. A tecnologia ESET inclui detecção e resposta fortes, criptografia ultra segura e autenticação multifator. Com defesa em tempo real 24 horas por dia, 7 dias por semana e forte suporte local, mantém os usuários seguros e os negócios funcionando ininterruptamente. Um cenário digital em constante evolução exige uma abordagem progressiva à segurança: a ESET® está comprometida com pesquisas de classe mundial e inteligência poderosa sobre ameaças, apoiada por centros de P&D e uma forte rede global de parceiros. Para mais informações, visite https://www.eset.com/br/ ou siga-nos no LinkedIn, Facebook e Twitter. 

ATENDIMENTO À IMPRENSA ESET Brasil:

O que você achou deste artigo?

Clique nas estrelas

Média da classificação 5 / 5. Número de votos: 1

Nenhum voto até agora! Seja o primeiro a avaliar este post.

CategoriaConteúdo Patrocinado Notícias

Sobre o Autor

[email protected]

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *