A campanha de espionagem global, atribuída a hackers chineses, usou chamadas de API SaaS no Google Planilhas para coletar dados sensíveis. A campanha é conhecida como UNC2814 e é responsável por 53 empresas em 42 países, com suspeitas de invasão em mais 20 outras nações.
O vetor de acesso ainda é desconhecido, mas o atacante é identificado internamente como UNC2814, que já explorou falhas em servidores web e sistemas de borda. Na campanha recente, foi usada uma nova backdoor baseada em C chamada GRIDTIDE, que abusa a API do Google Sheets para entregar comandos de servidores maliciosos.
Com uma chave privada hardcoded, o malware se autentica em uma conta Google e limpa uma planilha ao excluir as linhas 1 a 1000 e colunas de A a Z. Após o procedimento, é feito um reconhecimento do sistema, coletando nome de usuário, de host, detalhes do sistema operacional, IP, localização e fuso horário, anotando os dados na célula V1.
Já a célula A1 é usada para os comandos e status do ataque, e o GRIDTIDE recebe instruções por ela constantemente. Os comandos usados pelo malware são de execução de bashes Base64, escrevendo os resultados na planilha, upload e download de arquivos. As células de A2 a AN são usadas para escrever os comandos, extrair arquivos e atualizar ferramentas.
