Cibersegurança

Hackers usam portal da Polícia da Baluchistão em campanhas de espionagem de múltiplos grupos

Pesquisadores de cibersegurança divulgaram detalhes de uma atividade sustentada de ciberespionagem contra várias organizações de segurança paquistanesas, conduzida por agentes de ameaça supostamente alinhados à China e à Índia entre fevereiro de 2024 e abril de 2026. O ataque comprometeu servidores de aplicações web da Polícia da Baluchistão que gerenciam dados policiais e de cidadãos, incluindo registros criminais e biométricos.


Ravie Lakshmanan Domingo - 12 de Julho de 2026 às 08:54
The Hacker News

Contexto e descoberta

Pesquisadores de cibersegurança divulgaram detalhes de uma atividade sustentada de ciberespionagem contra várias organizações de segurança paquistanesas, conduzida por agentes de ameaça supostamente alinhados à China e à Índia entre fevereiro de 2024 e abril de 2026.

"Na Polícia da Baluchistão, os ativos comprometidos incluíam servidores que hospedam aplicações web de gerenciamento de dados policiais e de cidadãos, como registros criminais e biométricos", afirmou Aleksandar Milenkoski, pesquisador-chefe de ameaças na SentinelOne SentinelLABS, em um relatório publicado nesta semana.

A atividade teve como alvo dispositivos de rede e servidores que hospedam aplicações web de gestão de registros biométricos, cadastros de hotéis e inquilinos ligados a registros de identidade nacional, arquivos de casos criminais e registros de pessoal.

Implantação de malware

O agente de ameaça ligado à China também teria comprometido uma dessas aplicações web para implantar um implante personalizado se passando por uma atualização do portal. A aplicação em questão, chamada Sistema de Gerenciamento de Reclamações (CMS, na sigla em inglês), atende policiais e cidadãos, colocando ambas as categorias de usuários no alcance do atacante.

A SentinelOne afirmou ter detectado infraestrutura comprometida associada a várias outras organizações de segurança paquistanesas, incluindo a Polícia de Khyber Pakhtunkhwa, a Polícia de Islamabad e a Autoridade de Cidades Seguras de Punjab (PSCA, na sigla em inglês).

Foram identificados quatro grupos distintos de ameaça, cada um implantando uma família de malware diferente: PlugX, ShadowPad, Cobalt Strike e Remcos RAT. O uso do Remcos RAT foi associado a um agente de ameaça ligado à Índia, enquanto os grupos PlugX, ShadowPad e Cobalt Strike se baseiam em ferramentas compartilhadas ou comercialmente disponíveis e podem envolver mais de um operador.

Dito isso, a implantação tanto do PlugX quanto do ShadowPad, este último considerado sucessor do PlugX, é tradicionalmente associada a grupos de hackers estatais chineses.

"A vitimologia que observamos para o PlugX (entre 27 de fevereiro e 28 de setembro de 2024) e para o ShadowPad (entre 3 de agosto e 1 de dezembro de 2024) reforça essa avaliação", afirmou a empresa de cibersegurança.

"Além das forças de segurança paquistanesas, a vitimologia do PlugX e do ShadowPad inclui entidades governamentais, de relações exteriores, defesa, organizações não governamentais e de pesquisa no Sul, Sudeste, Centro e Leste da Ásia, na Península Arábica e no Sudeste Europeu, consistente com coleta alinhada à China."

O conjunto de intrusões relacionado ao Remcos é avaliado como compartilhando infraestrutura e sobreposições táticas com um grupo de hackers conhecido como Mysterious Elephant (também chamado de APT-C-08, APT-K-47 e TAG-179), que, por sua vez, possui semelhanças com adversários ligados à Índia, como SideWinder, Confucius e Bitter.

Cadeia de ataques e vítimas

Descobriu-se que as cadeias de ataque empregam iscas relacionadas às forças de segurança paquistanesas, exibindo um documento de isca que supostamente conteria um plano operacional para a repatriação de estrangeiros ilegais, incluindo portadores do Cartão de Cidadão Afegão (ACC, na sigla em inglês).

Os laços do grupo de atividade do Cobalt Strike com agentes de ameaça ligados à China se baseiam no fato de que o tráfego para o servidor de comando e controle (C2, na sigla em inglês) controlado pelo atacante ("142.171.183[.]8") se estende além das forças de segurança paquistanesas para entidades governamentais, acadêmicas, de telecomunicações e não governamentais no Sul, Leste e Sudeste da Ásia, no Oriente Médio e na América do Sul – um perfil de vitimologia consistente com hackers alinhados à China.

Entre os alvos estão organizações budistas tibetanas em Taiwan, há muito visadas pela China para ciberespionagem.

Ativos comprometidos

Um exame mais detalhado da atividade voltada à Polícia da Baluchistão revelou o comprometimento dos seguintes ativos, ocorrido entre 2 de junho de 2024 e 9 de abril de 2026:

  • Dois dispositivos de rede
  • Servidores web que hospedam diversas aplicações web da Polícia da Baluchistão associadas à iniciativa de digitalização Smart Police Station (Delegacia Inteligente)
  • Um appliance Fortinet FortiMail que servia como gateway principal de e-mail de entrada da agência

Uma das aplicações infectadas é o Sistema de Gerenciamento de Reclamações ("cms.balochistanpolice.gov[.]pk"), usado para registrar, acompanhar e resolver reclamações de cidadãos. Duas variantes distintas de um implante chamado "cms_plugin.exe" foram carregadas no site em conexão com a operação:

  • Um stager em Rust projetado para baixar um payload adicional de "193.42.25[.]65" e executá-lo. A natureza exata da próxima etapa é desconhecida, mas as amostras exibem a mensagem "Update Complete! Please refresh the page" (Atualização concluída! Por favor, atualize a página) ao serem executadas, imitando uma atualização do portal CMS.
  • Um executável .NET que se disfarça de "360Safe.exe", um binário legítimo usado pelo Qihoo 360 Total Security, para carregar de forma reflexiva um assembly que implementa um cliente AsyncRAT.

Significado estratégico

A atividade é notável por ter atraído tanto um "parceiro quanto um adversário do Paquistão" para a mesma vítima com fins de coleta de inteligência, provavelmente impulsionada por motivações geopolíticas.

"Quando múltiplos atores de ciberespionagem atuam contra instituições de segurança de um único Estado, a convergência em si é um sinal do valor do alvo", explicou Milenkoski. "O que os atrai é um tipo específico de instituição: aquela que detém a visão interna de segurança do governo, o que ele sabe sobre as ameaças dentro de suas fronteiras e como age contra elas."

"O comprometimento da aplicação web do Sistema de Gerenciamento de Reclamações adiciona uma segunda dimensão à atividade contra a Polícia da Baluchistão, estendendo o alcance do agente de ameaça além do ambiente inicialmente comprometido. Ao hospedar implantes em um portal usado tanto por cidadãos quanto por pessoal das forças de segurança, o agente de ameaça transformou uma ferramenta criada para tornar a atividade policial no Paquistão mais acessível e responsável perante o público em um mecanismo de distribuição de malware."

Article The Hacker News thehackernews.com