HomeNews* Um novo grupo de ameaças conhecido como NightEagle (APT-Q-95) atacou servidores Microsoft Exchange na China usando vulnerabilidades de dia zero.
Os ataques cibernéticos concentram-se em organizações governamentais, de defesa e tecnológicas, especialmente em setores como semicondutores, tecnologia quântica, Inteligência Artificial e pesquisa militar.
NightEagle utiliza uma versão modificada da ferramenta de código aberto Chisel, entregue através de um carregador .NET personalizado implantado no Microsoft Internet Information Server (IIS).
Os atacantes exploram uma vulnerabilidade zero-day de uma Exchange para obter credenciais-chave, permitindo acesso não autorizado e extração de dados de servidores alvo.
Pesquisadores de segurança sugerem que o ator da ameaça opera à noite na China e pode estar baseado na América do Norte, com base nos tempos de ataque observados.
Pesquisadores identificaram um grupo de espionagem cibernética previamente desconhecido, NightEagle, que está a atacar ativamente servidores Microsoft Exchange na China. Este ator de ameaça utiliza uma cadeia de exploits de zero-day para infiltrar organizações nos setores governamental, de defesa e de tecnologia avançada.
Anúncio - Segundo a Equipa RedDrip da QiAnXin, NightEagle tem como alvo empresas em áreas como semicondutores, tecnologia quântica, inteligência artificial e P&D militar. O grupo opera desde 2023, movendo-se rapidamente entre diferentes infraestruturas de rede e atualizando frequentemente os seus métodos.
A equipe de pesquisa começou a sua investigação após encontrar uma versão personalizada da ferramenta de penetração Chisel em um sistema de cliente. Esta ferramenta estava configurada para ser executada automaticamente a cada quatro horas. Os analistas explicaram em seu relatório que os atacantes alteraram a ferramenta Chisel de código aberto, definindo nomes de utilizador e senhas fixos, e conectando portas específicas entre a rede comprometida e o seu servidor de comando.
O malware inicial é entregue através de um carregador .NET, que está incorporado no Internet Information Server (IIS) do servidor Exchange. Os atacantes aproveitam uma falha não divulgada—uma vulnerabilidade zero-day—para recuperar as credenciais machineKey do servidor. Isso permite-lhes desserializar e carregar malware adicional em qualquer servidor Exchange de uma versão compatível, obtendo acesso remoto e a capacidade de ler dados de caixas de correio.
Um porta-voz da QiAnXin afirmou: "Parece ter a velocidade de uma águia e tem operado à noite na China," referindo-se às horas de operação do grupo e à sua lógica de nomenclatura. Com base nos padrões de atividade, os investigadores suspeitam que NightEagle possa estar baseado na América do Norte, uma vez que a maioria dos ataques ocorre entre as 21h e as 6h, hora de Pequim.
As descobertas foram reveladas na CYDES 2025, a Exposição e Conferência Nacional de Defesa e Segurança Cibernética da Malásia. QiAnXin notificou Microsoft sobre a pesquisa para ações futuras.
Artigos Anteriores:
BRICS irá lançar o Fundo Multilateral de Garantia na Cimeira do Rio
Eurex Clearing Lança Solução de Colateral Baseada em DLT para Margem
Homem de Droitwich enfrenta 39 acusações de fraude por roubo de 206 mil libras de uma instituição de caridade
Bitcoin Aproxima-se do Máximo Histórico à Medida que Projetos de Lei Pró-Cripto Chegam ao Congresso dos EUA
Baleias de Bitcoin dormentes movimentam $3B após 14 anos, gerando burburinho
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
NightEagle APT Alvo China Através de Explorações Zero-Day do Exchange
HomeNews* Um novo grupo de ameaças conhecido como NightEagle (APT-Q-95) atacou servidores Microsoft Exchange na China usando vulnerabilidades de dia zero.
A equipe de pesquisa começou a sua investigação após encontrar uma versão personalizada da ferramenta de penetração Chisel em um sistema de cliente. Esta ferramenta estava configurada para ser executada automaticamente a cada quatro horas. Os analistas explicaram em seu relatório que os atacantes alteraram a ferramenta Chisel de código aberto, definindo nomes de utilizador e senhas fixos, e conectando portas específicas entre a rede comprometida e o seu servidor de comando.
O malware inicial é entregue através de um carregador .NET, que está incorporado no Internet Information Server (IIS) do servidor Exchange. Os atacantes aproveitam uma falha não divulgada—uma vulnerabilidade zero-day—para recuperar as credenciais machineKey do servidor. Isso permite-lhes desserializar e carregar malware adicional em qualquer servidor Exchange de uma versão compatível, obtendo acesso remoto e a capacidade de ler dados de caixas de correio.
Um porta-voz da QiAnXin afirmou: "Parece ter a velocidade de uma águia e tem operado à noite na China," referindo-se às horas de operação do grupo e à sua lógica de nomenclatura. Com base nos padrões de atividade, os investigadores suspeitam que NightEagle possa estar baseado na América do Norte, uma vez que a maioria dos ataques ocorre entre as 21h e as 6h, hora de Pequim.
As descobertas foram reveladas na CYDES 2025, a Exposição e Conferência Nacional de Defesa e Segurança Cibernética da Malásia. QiAnXin notificou Microsoft sobre a pesquisa para ações futuras.
Artigos Anteriores: