As autoridades dos EUA confirmaram que interromperam as operações de um grupo de hackers apoiado pelo estado chinês, que infiltrou milhões de computadores em todo o mundo para roubar dados como parte de uma campanha de espionagem de vários anos.
O Departamento de Justiça e o FBI disseram na terça-feira que conseguiram deletar com sucesso o malware plantado pelo grupo de hackers apoiado pela China, conhecido como “Twill Typhoon” ou “Mustang Panda”, de milhares de sistemas infectados nos Estados Unidos durante uma operação autorizada pelo tribunal em agosto de 2024.
As autoridades francesas lideraram a operação com a assistência da empresa de cibersegurança com sede em Paris, Sekoia. Em um comunicado à imprensa no ano passado, os procuradores franceses disseram que o malware - conhecido como "PlugX" - havia infectado vários milhões de computadores globalmente, incluindo 3.000 dispositivos localizados na França.
A Sekoia disse em um post em seu blog que desenvolveu a capacidade de enviar comandos para dispositivos infectados para deletar o malware PlugX. As autoridades dos EUA disseram que a operação foi usada para deletar o malware de mais de 4.200 computadores infectados nos Estados Unidos.
Em registros judiciais arquivados no tribunal federal da Pensilvânia, o FBI disse que observou o malware - normalmente instalado no dispositivo de um alvo através da porta USB de um computador - desde pelo menos 2012, e que o malware foi usado por hackers apoiados pelo estado chinês desde 2014.
Uma vez instalado, o malware continua a “coletar e preparar os arquivos do computador da vítima para exfiltração”, disse o FBI. As autoridades francesas afirmam que o malware PlugX é “usado em particular para fins de espionagem”.
Em seu comunicado de terça-feira, o Departamento de Justiça dos EUA acusou o governo chinês de pagar ao grupo Twill Typhoon para desenvolver o malware PlugX. A China nega há muito tempo as alegações dos EUA de hacking.
Embora as vítimas específicas desta campanha de hacking não tenham sido nomeadas, o FBI diz que o Twill Typhoon infiltrou os sistemas de “numerosas” organizações governamentais e privadas, incluindo nos Estados Unidos. Alvos significativos incluem empresas de navegação europeias, vários governos europeus, grupos dissidentes chineses e vários governos em toda a região indo-pacífica, segundo o FBI.
O Twill Typhoon junta-se à crescente lista de grupos de hackers patrocinados pelo estado chinês com o nome de Typhoon. Esta lista inclui o Volt Typhoon, um grupo de hackers do governo chinês encarregado de preparar o terreno para ciberataques destrutivos, e o Salt Typhoon, o grupo apoiado pela China responsável pelo hacking em massa de empresas telefônicas e de internet dos EUA.
De acordo com a Microsoft, que desenvolveu o sistema de nomenclatura para grupos de hackers, o Twill Typhoon (anteriormente conhecido como “Tantalum”) tem um histórico de sucesso na comprometimento de máquinas governamentais em toda a África e Europa, e organizações humanitárias em todo o mundo.
A Microsoft não respondeu imediatamente às perguntas da TechCrunch na terça-feira.
Esta é a mais recente de uma longa lista de operações autorizadas por tribunais realizadas pelas autoridades dos EUA nos últimos anos para combater a crescente ameaça de adversários estrangeiros visando dispositivos americanos. Durante 2024, o FBI realizou várias operações envolvendo a remoção de malware e o controle de botnets maliciosos, com o objetivo de interromper campanhas apoiadas pela China visando a infraestrutura crítica dos EUA.
Os funcionários de segurança nacional dos EUA descreveram anteriormente as capacidades cibernéticas ofensivas do governo chinês como uma “ameaça definidora de época”.
