Uma nova campanha de Advanced Persistent Threat (APT), batizada de Earth Kurma, está visando organizações governamentais e de telecomunicações no Sudeste Asiático. Com táticas sofisticadas, incluindo rootkits no nível do kernel, malware personalizado. O grupo tem explorado infraestrutura em nuvem legítima, malware modular e técnicas avançadas de persistência para conduzir ataques furtivos e direcionados a abuso de serviços de nuvem como Dropbox e OneDrive para Comando e Controle (C2), o grupo demonstra alta capacidade de evasão e persistência em redes comprometidas.
A pesquisa da Trend Micro, divulgada em abril de 2025, revela que os ataques estão ativos desde pelo menos 2020, com foco em exfiltração de dados sensíveis. Países como Filipinas, Vietnã, Tailândia e Malásia são os principais alvos, indicando motivações geopolíticas ou de espionagem estratégica.
Modus Operandi: Intrusão Silenciosa e Persistência Prolongada
A campanha teve início com e-mails de spear phishing que utilizam documentos maliciosos para explorar vulnerabilidades conhecidas no software da vítima. Após o comprometimento inicial, os operadores do Earth Kurma implantam um conjunto de ferramentas modulares que incluem:
-
Backdoors personalizados, como o Zingdoor e Divingdoor, para acesso remoto.
-
Rootkits, utilizados para ocultar processos e conexões de rede.
-
Serviços de nuvem como canal de comunicação, dificultando a detecção pelas soluções tradicionais de segurança.
Uma vez dentro do sistema, o grupo coleta documentos, credenciais e outras informações sensíveis, enviando os dados exfiltrados para seus servidores remotos de comando e controle (C&C) hospedados na nuvem.
Indícios de Estado-nação e Continuidade Operacional
As características da campanha indicam uma operação típica de APT patrocinada por Estado-nação. O foco geopolítico em países do Sudeste Asiático, aliados estratégicos e críticos para disputas territoriais e econômicas, levanta suspeitas sobre interesses governamentais por trás das ações do Earth Kurma.
Apesar de ainda não haver atribuição oficial, a infraestrutura, a sofisticação e os alvos sugerem que o grupo possui recursos técnicos e operacionais de alto nível, compatíveis com operações estatais de longo prazo.
Infraestrutura e Táticas Sofisticadas
O relatório da Trend Micro, expõe a campanha Earth Kurma, um grupo APT que vem atacando governos e empresas de telecomunicações no Sudeste Asiático desde 2020. A pesquisa, conduzida pelos especialistas Nick Dai e Sunny Lu, detalha como os invasores combinam rootkits no nível do kernel, malware customizado e serviços de nuvem como Dropbox e OneDrive para roubar dados sensíveis e manter acesso prolongado às redes das vítimas.
A análise identificou ferramentas exclusivas, como TESDAT, SIMPOBOXSPY e KRNRAT, além de rootkits como MORIYA — este último com ligações ao grupo Operação TunnelSnake, conhecido por ataques na Ásia. Os alvos principais incluem Filipinas, Vietnã, Tailândia e Malásia, sugerindo motivações geopolíticas ou espionagem estratégica.
“A capacidade de se ocultar à vista usando serviços em nuvem é um divisor de águas na forma como detectamos e respondemos a ameaças sofisticadas,” alerta o relatório da Trend Micro.
Técnicas de Infiltração e Persistência
1. Movimento Lateral com Ferramentas Adaptáveis
Os invasores usam ferramentas como Ladon (modificado para evadir detecção) e WMIHACKER para escanear redes e se mover lateralmente. Comandos como net use e sc.exe são empregados para implantar malware em sistemas críticos.
2. Rootkits para Ocultação
-
MORIYA: Intercepta tráfego TCP para injetar cargas maliciosas e esconde shellcodes em processos legítimos (ex.: svchost.exe).
-
KRNRAT: Backdoor modular com funções avançadas (ocultação de arquivos, portas e processos), baseado em projetos de código aberto como Cronos-Rootkit.
3. Exfiltração Furtiva
Os dados roubados — como documentos .pdf, .docx e planilhas — são compactados com WinRAR (protegidos por senha) e enviados para nuvem via:
Tática Inovadora: Os arquivos são copiados para pastas de replicação do Active Directory (sysvol), aproveitando o sistema DFSR para dispersão silenciosa entre servidores.
Conexões com Outros Grupos APT
A Earth Kurma compartilha semelhanças com operações conhecidas, como:
Porém, diferenças nos padrões de ataque impedem uma atribuição direta, indicando que o grupo pode ser uma nova entidade ou um spin-off de operações anteriores.
Impacto e Recomendações
O caso Earth Kurma serve como alerta para instituições brasileiras — especialmente aquelas ligadas ao governo, telecomunicações, defesa e energia — sobre a crescente utilização de técnicas avançadas por grupos APT. As organizações devem fortalecer seus programas de segurança, com foco em:
-
Monitoramento contínuo de tráfego para identificar comunicações anômalas com serviços em nuvem.
-
Análise comportamental de endpoints para detectar persistência incomum.
-
Atualização constante de patches e mecanismos de defesa contra spear phishing.
Riscos Identificados:
Medidas de Mitigação (Trend Micro):
-
Restringir instalação de drivers: Permitir apenas assinados digitalmente.
-
Fortalecer o Active Directory: Auditar eventos de replicação do DFSR.
-
Monitorar conexões SMB: Limitar comunicações não essenciais.
-
Adotar soluções proativas: Plataformas que detectam IOCs associados ao Earth Kurma.
Conclusão
A campanha Earth Kurma destaca a evolução das ameaças APT na Ásia, com táticas que misturam inovação técnica e abuso de infraestruturas legítimas. Organizações devem priorizar visibilidade de rede e resposta a incidentes para evitar comprometimentos prolongados.
A operação Earth Kurma mostra que a ciberespionagem continua sendo uma das principais ferramentas de influência geopolítica e inteligência estratégica no ciberespaço. Em um mundo digital cada vez mais interconectado, entender as táticas dos grupos APT é essencial para a defesa nacional e corporativa.
Indicadores de Comprometimento (IOCs) e consultas de caça estão disponíveis no relatório completo da Trend Micro.
Descubra mais sobre DCiber
Assine para receber nossas notícias mais recentes por e-mail.
