Em meados de 2016, um grupo hacker chamado The Shadow Brokers divulgou publicamente uma série de ferramentas de invasão, ciberarmas e exploits “0-day” que teriam vindo do “Equation Group”, grupo hacker que seria afiliado à Tailored Access Operations (TAO), uma unidade da Agência Nacional de Segurança (NSA) do governo dos EUA .
Extremamente sofisticadas, estas ferramentas tinham como alvo firewalls corporativos, software antivírus e produtos da Microsoft . Uma vez à solta, elas deram origem a malware como o WannaCry e NotPetya. Ambos foram responsáveis por dois ciberataques de grande escala em 2016 e 2017, que afetaram milhares de computadores e causaram centenas de milhares de dólares de prejuízo a empresas em todo o mundo.
Mas segundo a empresa de segurança Check Point Research, esta não foi a única vez que ciberarmas desenvolvidas pelo governo dos EUA caíram nas mãos de terceiros. Uma análise recente afirma que um exploit do Equation Group chamado EpMe estava nas mãos de um grupo hacker chinês chamado APT31, e foi usado contra empresas norte-americanas, anos antes do incidente com o The Shadow Brokers.
Assim como o EquationGroup, o APT31 também seria ligado a um governo, o chinês, e teria como principal propósito o roubo de informações e propriedade intelectual de adversários.
De acordo com a Check Point, os arquivos do EpMe estavam nas mãos do APT31 dois anos antes do incidente com os Shadow Brokers, ou seja, desde 2014. Uma variante chinesa do EpMe estaria em uso desde 2015 e foi batizada pela Check Point de Jian.
O nome é uma referência a uma espada chinesa com dois gumes, usada há mais de 2.500 anos. É uma alusão ao fato de que o exploit foi criado para atacar inimigos dos EUA, mas se voltou contra empresas no país.
Jian teria sido usado por dois anos, até 2017, quando a equipe de resposta a incidentes da empresa norte-americana Lockheed Martin reportou à Microsoft uma tentativa de ataque.
Curiosamente, um dos bugs “0-day” usados pelo exploit foi corrigido pela Microsoft em 2017, sem um identificador na base de dados Common Vulnerabilities and Exposures (CVE), usada para identificar falhas de segurança .
A análise da CheckPoint Research é bem extensa e técnica, e aponta as inúmeras semelhanças entre o EpMe e o Jian, tanto em seu código-fonte quanto no modo de operação.
Segundo a empresa, o exploit norte-americano poderia ter caído nas mãos dos chineses de três formas: capturado durante uma operação do Equation Group contra um alvo chinês, capturado durante uma operação do Equation Group contra um “terceiro” não identificado, cuja rede estava sendo monitorada pelo APT31, ou capturado durante um ataque à infraestrutura do Equation Group.