Entre 2014 e 2017, o grupo de hackers chineses APT31 (de advanced persistent threat) usou uma ferramenta de ataque clonada para atacar os EUA, a EpMe.
Os cibercriminosos copiaram este “vírus” a partir de uma versão criada originalmente pelo Equation Group, um grupo de hackers norte-americanos que terá ligações à Agência de Segurança Nacional dos Estados Unidos (NSA).
A informação foi avançada pela Check Point, que deu o nome de Jian ao clone criado pelo APT31, a espada chinesa tradicional com dois gumes. Segundo a empresa de segurança, foi a Lockheed Martin a identificar, pela primeira vez, esta ameaça.
O conceito da Jian baseava-se em «ataques zero-day» e «elevação de privilégios em computadores com sistemas operativos entre o Windows XP e o 8. Em 2017, três anos depois de os ataques terem começado, a Microsoft desenvolveu um patch para corrigir a vulnerabilidade.
De acordo com a Check Point, a vulnerabilidade EpMe/Jian nunca tinha sido «discutida publicamente» até agora. Yaniv Balmas, responsável de cyber research da empresa lembra que o facto de um grupo APT «usar as ferramentas de outro grupo APT para as suas próprias operações» faz com que seja «mais difícil para os investigadores de segurança avaliar a natureza e atribuição dos ataques».