A Operação Iron Tiger é uma campanha de ataque direcionado que se descobriu ter roubado trilhões de dados dos contratados de defesa dos EUA, incluindo emails roubados, propriedade intelectual, documentos de planejamento estratégico – dados e registros que poderiam ser usados para desestabilizar uma organização.

Acredita-se que a operação foi realizada pelo “Emissary Panda”, um grupo da China conhecido por visar entidades governamentais e organizações políticas de países da APAC (Ásia e Pacífico) desde 2010, mas mudou para o ataque a alvos de alta tecnologia nos EUA em 2013. Um grupo altamente competente e sofisticado. Nós o vimos roubando até 58 GB de dados de um único alvo.

Esse relatório disseca a operação e seus facilitadores de dentro para fora, com detalhes meticulosos: desde as ferramentas e métodos usados na operação, até o modus operandi do grupo, suas identidades e origens e também o tipo de dados que estão roubando.

Alguns dos principais detalhes do artigo:

• O uso pelo grupo de ferramentas e malware de hacking exclusivos, como o dnstunserver, PlugX, Gh0st, para citar só alguns
• O uso pelo agente de ameaça do grupo de recursos públicos como Blogspot™ e Google Cloud Platform™
• O grupo corrigiu um de seus servidores comprometidos para evitar ser hackeado
• Elementos fundamentais de identificação levando a pelo menos um indivíduo localizado fisicamente na China
• O uso de certificados de assinatura de código da empresa de segurança SoftCamp Co. Ltd, da Coreia.

A lista de alvos do grupo, que inclui contratados de defesa militar, agências de inteligência, parceiros do FBI e o governo dos EUA.

Seu uso de um método exclusivo para interceptar credenciais do Microsoft Exchange

Veja os detalhes completos sobre essa operação avançada e seus agentes de ameaça no artigo completo de pesquisa (em inglês), Operação Iron Tiger: Falando sobre os ataques chineses de espionagem cibernética contra os Contratados de Defesa dos Estados Unidos.