A campanha Ink Dragon, um conhecido ator de ameaça apoiado pelo Estado chinês, ampliou sua atuação em governos europeus ao explorar dispositivos mal configurados para obter acesso inicial, estabelecendo persistência ao misturar seu tráfego com atividades normais, alertam especialistas.

Um relatório da Check Point Software, empresa de pesquisa em cibersegurança, afirma que os atacantes estão utilizando servidores Microsoft IIS e SharePoint como nós de retransmissão para operações futuras.

“Esta fase é tipicamente caracterizada por baixo ruído e se espalha por infraestruturas que compartilham as mesmas credenciais ou padrões de gerenciamento”, afirmaram os pesquisadores da Check Point.

Para o acesso inicial, o grupo não explora zero-days ou outras vulnerabilidades, pois isso provavelmente acionaria soluções de segurança e alarmes. Em vez disso, eles sondam os servidores em busca de fraquezas e más configurações, conseguindo operar discretamente.

Após encontrar uma conta com acesso a nível de domínio, o grupo se expande para outros sistemas, instala backdoors e outros malwares, estabelece acesso de longo prazo e exfiltra dados sensíveis.

Entre suas ferramentas, o Ink Dragon possui um backdoor chamado FinalDraft, que foi recentemente atualizado para se misturar com atividades comuns da nuvem Microsoft. Seu tráfego de comando e controle (C2) é frequentemente deixado na pasta de “rascunhos” de uma conta de e-mail. Outro ponto interessante é que o malware opera apenas durante o horário comercial, quando o tráfego é maior e fica mais difícil detectar atividades suspeitas.

Finalmente, uma vez que os atacantes garantem acesso persistente aos servidores comprometidos, eles reutilizam a infraestrutura das vítimas ao instalar módulos personalizados baseados em IIS em sistemas expostos à internet, transformando-os em pontos de retransmissão para suas operações maliciosas.

A Check Point não conseguiu nomear as vítimas, por razões óbvias, mas revelou que “várias dezenas” de entidades foram afetadas, incluindo organizações governamentais e empresas de telecomunicações na Europa, Ásia e África.

“Embora não possamos divulgar as identidades ou países específicos das entidades afetadas, observamos que o ator começou operações baseadas em retransmissão no segundo semestre de 2025, seguido por uma expansão gradual na cobertura de vítimas a partir de cada retransmissão ao longo do tempo”, disseram os pesquisadores.