yuze: grupo de espionagem CL-STA-1062 ataca governos e infraestrutura crítica no Sudeste Asiático
Aprofundamento CEVIU
Aprofundamento
O grupo CL-STA-1062, ativo desde março de 2022 e com forte suspeita de ser de língua chinesa, ampliou seu foco de campanhas contra infraestrutura de hospedagem web em Taiwan para atacar governos e empresas de energia no Sudeste Asiático em 2025. Essa evolução tática demonstra uma estratégia regional mais ampla e persistente na Ásia-Pacífico.
Tecnicamente, o grupo emprega um conjunto de ferramentas híbrido, combinando utilitários de código aberto como SoftEther VPN, Mimikatz e VNT com o TinyRCT, um backdoor inédito escrito em C#/.NET. O TinyRCT, descoberto em um executável chamado PerfWatson2.exe, atua como um RAT (Remote Access Trojan) capaz de executar comandos arbitrários, exfiltrar arquivos, capturar telas e até mesmo se autodestruir para apagar rastros forenses. Seu modo de operação inclui um registro inicial via HTTP POST para coletar informações do host comprometido, seguido por comunicação C2 contínua via HTTP com dados criptografados em AES-128.
O que mudou
A mudança mais significativa na atuação do CL-STA-1062 é a transição do foco geográfico e de alvos. Anteriormente concentrado em infraestrutura de hospedagem web em Taiwan, o grupo agora direciona seus ataques a entidades governamentais e de infraestrutura crítica no Sudeste Asiático. Essa ampliação de escopo indica um amadurecimento e aprofundamento da estratégia de espionagem na região. Além disso, a introdução de malware customizado como o TinyRCT, em vez de depender apenas de ferramentas comerciais ou de código aberto, sugere um investimento maior em capacidades de ataque sob medida, visando manter uma ameaça persistente e difícil de detectar.
Por que isso importa
A persistência e a sofisticação do CL-STA-1062 configuram um risco sério para a segurança de nações e infraestruturas críticas no Sudeste Asiático. A capacidade do grupo de infiltrar setores estratégicos, como o governamental e o de energia, combinada com o uso de malware customizado e ferramentas de código aberto para evasão e espionagem, exige atenção redobrada das equipes de segurança. O desenvolvimento de um backdoor como o TinyRCT, com funcionalidades de autodenúncia e execução sob o disfarce de componentes legítimos, dificulta a detecção e a resposta a incidentes.
Repositório oficial: P001water/yuze
Linha do tempo
CL-STA-1062 inicia operações, com foco em setores estratégicos na Ásia Oriental.
CL-STA-1062 realiza campanhas contra infraestrutura de hospedagem web em Taiwan.
CL-STA-1062 compromete entidade governamental no Sudeste Asiático e exfiltra dados.
O grupo foca em infraestrutura crítica de energia no Sudeste Asiático, com ataques contínuos.
Duas entidades estatais de infraestrutura de energia são comprometidas no Sudeste Asiático.
Unit 42 atribui campanha de 2025 contra governos e infraestrutura crítica no Sudeste Asiático ao CL-STA-1062.
Perguntas frequentes
Quem são os atores por trás do CL-STA-1062?
A Unit 42 avalia com alta confiança que os atores por trás do CL-STA-1062 são um cluster de língua chinesa. O grupo tem sido rastreado desde pelo menos março de 2022 e é considerado o mesmo visto pela Cisco Talos como UAT-7237.
Quais ferramentas o CL-STA-1062 utiliza?
O grupo usa um conjunto híbrido de ferramentas, incluindo utilitários de código aberto como SoftEther VPN, Mimikatz e VNT. Recentemente, introduziram o TinyRCT, um backdoor customizado em C#/.NET, e também utilizam ferramentas como JuicyPotato para escalonamento de privilégios.
Qual o principal objetivo do CL-STA-1062?
O principal objetivo do CL-STA-1062 é a espionagem. Os ataques visam coletar informações sensíveis de entidades governamentais e de infraestrutura crítica, com foco em exfiltração de dados, captura de telas e execução de comandos remotos.
Fontes
- unit42.paloaltonetworks.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 26 de junho de 2026
- Editoria
- CEVIU Segurança da Informação