Contexto e descoberta
Pesquisadores de cibersegurança divulgaram detalhes de uma atividade sustentada de ciberespionagem contra várias organizações de segurança paquistanesas, conduzida por agentes de ameaça supostamente alinhados à China e à Índia entre fevereiro de 2024 e abril de 2026.
"Na Polícia da Baluchistão, os ativos comprometidos incluíam servidores que hospedam aplicações web de gerenciamento de dados policiais e de cidadãos, como registros criminais e biométricos", afirmou Aleksandar Milenkoski, pesquisador-chefe de ameaças na SentinelOne SentinelLABS, em um relatório publicado nesta semana.
A atividade teve como alvo dispositivos de rede e servidores que hospedam aplicações web de gestão de registros biométricos, cadastros de hotéis e inquilinos ligados a registros de identidade nacional, arquivos de casos criminais e registros de pessoal.
Implantação de malware
O agente de ameaça ligado à China também teria comprometido uma dessas aplicações web para implantar um implante personalizado se passando por uma atualização do portal. A aplicação em questão, chamada Sistema de Gerenciamento de Reclamações (CMS, na sigla em inglês), atende policiais e cidadãos, colocando ambas as categorias de usuários no alcance do atacante.
A SentinelOne afirmou ter detectado infraestrutura comprometida associada a várias outras organizações de segurança paquistanesas, incluindo a Polícia de Khyber Pakhtunkhwa, a Polícia de Islamabad e a Autoridade de Cidades Seguras de Punjab (PSCA, na sigla em inglês).
Foram identificados quatro grupos distintos de ameaça, cada um implantando uma família de malware diferente: PlugX, ShadowPad, Cobalt Strike e Remcos RAT. O uso do Remcos RAT foi associado a um agente de ameaça ligado à Índia, enquanto os grupos PlugX, ShadowPad e Cobalt Strike se baseiam em ferramentas compartilhadas ou comercialmente disponíveis e podem envolver mais de um operador.
Dito isso, a implantação tanto do PlugX quanto do ShadowPad, este último considerado sucessor do PlugX, é tradicionalmente associada a grupos de hackers estatais chineses.
"A vitimologia que observamos para o PlugX (entre 27 de fevereiro e 28 de setembro de 2024) e para o ShadowPad (entre 3 de agosto e 1 de dezembro de 2024) reforça essa avaliação", afirmou a empresa de cibersegurança.
"Além das forças de segurança paquistanesas, a vitimologia do PlugX e do ShadowPad inclui entidades governamentais, de relações exteriores, defesa, organizações não governamentais e de pesquisa no Sul, Sudeste, Centro e Leste da Ásia, na Península Arábica e no Sudeste Europeu, consistente com coleta alinhada à China."
O conjunto de intrusões relacionado ao Remcos é avaliado como compartilhando infraestrutura e sobreposições táticas com um grupo de hackers conhecido como Mysterious Elephant (também chamado de APT-C-08, APT-K-47 e TAG-179), que, por sua vez, possui semelhanças com adversários ligados à Índia, como SideWinder, Confucius e Bitter.
Cadeia de ataques e vítimas
Descobriu-se que as cadeias de ataque empregam iscas relacionadas às forças de segurança paquistanesas, exibindo um documento de isca que supostamente conteria um plano operacional para a repatriação de estrangeiros ilegais, incluindo portadores do Cartão de Cidadão Afegão (ACC, na sigla em inglês).
Os laços do grupo de atividade do Cobalt Strike com agentes de ameaça ligados à China se baseiam no fato de que o tráfego para o servidor de comando e controle (C2, na sigla em inglês) controlado pelo atacante ("142.171.183[.]8") se estende além das forças de segurança paquistanesas para entidades governamentais, acadêmicas, de telecomunicações e não governamentais no Sul, Leste e Sudeste da Ásia, no Oriente Médio e na América do Sul – um perfil de vitimologia consistente com hackers alinhados à China.
Entre os alvos estão organizações budistas tibetanas em Taiwan, há muito visadas pela China para ciberespionagem.
Ativos comprometidos
Um exame mais detalhado da atividade voltada à Polícia da Baluchistão revelou o comprometimento dos seguintes ativos, ocorrido entre 2 de junho de 2024 e 9 de abril de 2026:
- Dois dispositivos de rede
- Servidores web que hospedam diversas aplicações web da Polícia da Baluchistão associadas à iniciativa de digitalização Smart Police Station (Delegacia Inteligente)
- Um appliance Fortinet FortiMail que servia como gateway principal de e-mail de entrada da agência
Uma das aplicações infectadas é o Sistema de Gerenciamento de Reclamações ("cms.balochistanpolice.gov[.]pk"), usado para registrar, acompanhar e resolver reclamações de cidadãos. Duas variantes distintas de um implante chamado "cms_plugin.exe" foram carregadas no site em conexão com a operação:
- Um stager em Rust projetado para baixar um payload adicional de "193.42.25[.]65" e executá-lo. A natureza exata da próxima etapa é desconhecida, mas as amostras exibem a mensagem "Update Complete! Please refresh the page" (Atualização concluída! Por favor, atualize a página) ao serem executadas, imitando uma atualização do portal CMS.
- Um executável .NET que se disfarça de "360Safe.exe", um binário legítimo usado pelo Qihoo 360 Total Security, para carregar de forma reflexiva um assembly que implementa um cliente AsyncRAT.
Significado estratégico
A atividade é notável por ter atraído tanto um "parceiro quanto um adversário do Paquistão" para a mesma vítima com fins de coleta de inteligência, provavelmente impulsionada por motivações geopolíticas.
"Quando múltiplos atores de ciberespionagem atuam contra instituições de segurança de um único Estado, a convergência em si é um sinal do valor do alvo", explicou Milenkoski. "O que os atrai é um tipo específico de instituição: aquela que detém a visão interna de segurança do governo, o que ele sabe sobre as ameaças dentro de suas fronteiras e como age contra elas."
"O comprometimento da aplicação web do Sistema de Gerenciamento de Reclamações adiciona uma segunda dimensão à atividade contra a Polícia da Baluchistão, estendendo o alcance do agente de ameaça além do ambiente inicialmente comprometido. Ao hospedar implantes em um portal usado tanto por cidadãos quanto por pessoal das forças de segurança, o agente de ameaça transformou uma ferramenta criada para tornar a atividade policial no Paquistão mais acessível e responsável perante o público em um mecanismo de distribuição de malware."