APT Chinesa Camaro Dragon Alvo Qatar com Backdoor PlugX
Um grupo de ameaça persistente avançada (APT) vinculado à China, conhecido como Camaro Dragon, lançou uma campanha de ciberespionagem direcionada contra entidades no Qatar. A campanha foi iniciada logo após o início de novas hostilidades no Oriente Médio em 1º de março de 2026.
Táticas e Técnicas
O grupo utilizou documentos de isca com temas de guerra, projetados para parecerem comunicações urgentes reais ligadas à Operação Epic Fury. Os destinatários foram enganados para abrir arquivos maliciosos que instalaram silenciosamente o backdoor PlugX em suas máquinas.
Implantação Multiestágio
A primeira campanha envolveu um arquivo de arquivo disfarçado como fotos documentando ataques de mísseis em bases americanas no Bahrein. Quando uma vítima abriu o conteúdo do arquivo, um atalho do Windows (.LNK) desencadeou uma cadeia de infecção de múltiplos estágios que explorou o hijacking de DLL do binário legítimo do Baidu NetDisk para carregar e executar silenciosamente o backdoor PlugX.
Outra Campanha com Cobalt Strike
A segunda campanha utilizou um arquivo compactado protegido por senha nomeado "Strike at Gulf oil and gas facilities.zip". Ela recorreu a iscas geradas por IA de baixa qualidade que se passavam pelo governo israelense e implantou um carregador baseado em Rust que explorou o hijacking de DLL através do componente nvdaHelperRemote.dll do leitor de tela de código aberto NVDA, para finalmente entregar o Cobalt Strike como payload final.
Implicações Geopolíticas
Essas campanhas marcam uma mudança clara nas prioridades de direcionamento dos grupos de nexo chinês, já que a região do Golfo não havia anteriormente apresentado proeminentemente em relatórios públicos sobre espionagem patrocinada pelo estado. A localização estratégica do Qatar e suas ligações com potências concorrentes tornam-no um alvo valioso para inteligência estrangeira.
Organizações na região do Golfo devem tratar todos os anexos de e-mail com temas de conflito com extrema cautela, especialmente durante períodos de tensão geopolítica ativa.