Em fevereiro de 2023, a equipe de pesquisa da ESET revelou uma sofisticada campanha de ciberespionagem direcionada a um órgão governamental na Guiana, operação batizada de Operação Jacana. Esta missão secreta, conduzida com precisão meticulosa destaca o cenário em constante evolução da cibersegurança global.
A Operação Jacana foi descoberta após pesquisadores detectarem uma campanha de spearphishing em fevereiro de 2023. Nesse ataque, os operadores usaram um backdoor em C++ até então não documentado, chamado DinodasRAT. Este backdoor tinha a capacidade de exfiltrar arquivos, manipular chaves do registro do Windows, executar comandos CMD, entre outras funcionalidades. O nome DinodasRAT foi atribuído com base no identificador da vítima enviado ao seu C&C (Comando e Controle): a string sempre começava com "Din", fazendo referência ao hobbit Dinodas de Senhor dos Anéis.
O Ataque
A campanha começou com emails de spearphishing, que faziam referência a assuntos de interesse público na Guiana. Ao clicar em um link presente nesses e-mails, a vítima baixava um arquivo ZIP que, ao ser executado, resultava na infecção pela malware DinodasRAT.
Uma vez comprometidos os sistemas, os atacantes se moviam lateralmente pela rede interna da vítima. Utilizaram ferramentas como Impacket para esse movimento, e comandos como certutil e powershell para realizar operações maliciosas nos sistemas da vítima. O DinodasRAT, por sua vez, se destacava por sua capacidade de coletar informações sensíveis, como capturas de tela e dados da área de transferência, antes de criptografar essas informações usando o Tiny Encryption Algorithm (TEA) e enviá-las para o C&C.
Embora os pesquisadores não tenham conseguido atribuir a Operação Jacana a nenhum grupo específico até o momento, eles afirmam com médio grau de confiança que um grupo de ameaças alinhado à China está por trás do incidente. Essa conclusão foi reforçada pelas relações diplomáticas entre China e Guiana, bem como por semelhanças com técnicas usadas por grupos associados à China.
A Operação Jacana serve como um alerta para o mundo sobre a constante ameaça de ciberataques sofisticados e altamente direcionados. Governos e organizações em todo o mundo devem permanecer vigilantes, investir em segurança cibernética robusta e educar seus funcionários sobre as táticas de engenharia social para se protegerem contra ameaças cada vez mais astutas.
Este ataque destaca a necessidade urgente de cooperação internacional para combater ameaças cibernéticas. A segurança de uma nação está intrinsecamente ligada à segurança digital global. Somente com esforços conjuntos e colaborativos poderemos proteger nossos sistemas, dados e, por extensão, nossas sociedades, contra os perigos invisíveis que espreitam no mundo digital.
Clique aqui e confira a análise completa (em inglês) realizada pela equipe de pesquisa da ESET.