Hackers Apoiados por Governo Abusam Cloudflare em Campanha de Espionagem na Malásia

A Oasis Security rastreou uma operação de espionagem de vários anos ligada a redes do governo malaio que preparava dados exfiltrados em buckets Cloudflare R2. Um uploader Python (gen_photo_upload.py) enviava blobs COPhoto de SQL para cloudflarestorage.com via curl.exe, utilizando assinatura AWS Sig V4 e lógica de retomada baseada no último COBiodataID carregado. Os servidores C2 evitavam scanners públicos retornando respostas diferentes conforme o solicitante ou limitando o acesso a caminhos e protocolos específicos. Os operadores rotacionaram e reutilizaram a infraestrutura ao longo dos anos, em vez de abandoná-la entre campanhas. As descobertas apontam para uma mudança para buckets de armazenamento efêmeros e domínios com CDN que contornam controles de reputação de domínio, direcionando os defensores para inspeção de conexão de saída e detecção baseada em comportamento, em vez de permitir provedores confiáveis como a Cloudflare.