A Microsoft anunciou nesta sexta-feira (25) que hackers ligados ao governo chinês fizeram uso da plataforma Azure para seus aplicativos. A investigação da empresa descobriu e removeu 18 Diretórios Ativos ligados a um grupo identificado como Gadolinium, conhecido também pelos nomes APT40 e Leviathan.

O relatório da equipe de investigação indica que os diretórios foram excluídos não agora, mas sim em abril. Os cibercriminosos estavam usando seus aplicativos na plataforma Azure para uma série de ataques. Um exemplo citado pela Microsoft era uma campanha de spear-phishing, que usa mensagens falsas para enganar e infectar alvos específicos, ao contrário do phishing convencional, que costuma usar e-mails falsos genéricos enviados para milhares ou até milhões de vítimas em potencial, na esperança de que algumas caiam na armadilha.

Estes e-mails normalmente miravam pessoas em organizações específicas, normalmente continham documentos infectados, normalmente arquivos de PowerPoint, com temática de Covid-19, como reporta o site ZDNet.

Esses documentos instalavam malwares PowerShell no computador da vítima, que instalavam um desses 18 apps do Azure, que permitiam configurar o dispositivo da vítima para extrair informações da vítima para o OneDrive do hacker.

Segundo a Microsoft, a rotina de ataque foi “particularmente desafiadora” de se descobrir pelo sistema multifásico do ataque, com várias etapas até a extração das informações. A exclusão dos diretórios pelo menos atrapalhou temporariamente o grupo e o fez replanejar sua infraestrutura.

Curiosamente, a Microsoft nota que já havia detectado outras ações deste mesmo grupo utilizando os serviços da empresa. Em 2018, uma conta do GitHub foi derrubada após ser utilizada em ataques. As duas operações não têm vínculos, mas mostram como o Gadolinium é presente na vida da companhia.