Microsoft ha recentemente avvertito della minaccia rappresentata da un botnet cinese, noto come Quad7, che sfrutta le vulnerabilità dei router per rubare credenziali. Questo botnet, monitorato come Storm-0940, è stato utilizzato per orchestrare attacchi di "password spray" altamente evasivi. Il fenomeno del "password spray" consiste nel tentare di accedere a diversi account utilizzando un numero ristretto di password comuni, una tecnica che si è dimostrata efficace nel compromettere le credenziali di vari clienti Microsoft.

Il botnet, denominato CovertNetwork-1658 da Microsoft, è attivo almeno dal 2021. Gli attacchi di Storm-0940 mirano principalmente a organizzazioni in Nord America ed Europa, colpendo think tank, enti governativi, ONG, studi legali e il settore della difesa. Quad7 riesce a compromettere diversi tipi di router e dispositivi VPN, inclusi marchi noti come TP-Link, Zyxel, Asus e NETGEAR, sfruttando falle di sicurezza note e non ancora determinate per ottenere capacità di esecuzione di codice remoto.

Accesso remoto tramite backdoor

Un aspetto particolarmente preoccupante è l'uso di un backdoor che ascolta sulla porta TCP 7777, permettendo l'accesso remoto ai dispositivi infetti. Sekoia e Team Cymru hanno analizzato dettagliatamente il malware del botnet, confermando che gli attacchi brute-force sono diretti principalmente contro account Microsoft 365. Secondo Microsoft, gli operatori di questo botnet sono probabilmente attori sponsorizzati dallo stato cinese, coinvolti in attività di spionaggio informatico.

La Tech Company ha rilevato che i gestori del botnet sono situati in Cina e che diversi attori della minaccia utilizzano questo strumento per condurre attacchi di password spray seguiti da attività di sfruttamento della rete informatica, come il movimento laterale e il dispiegamento di trojan di accesso remoto. L'infiltrazione nelle organizzazioni bersaglio avviene spesso con credenziali valide ottenute tramite questi attacchi, talvolta lo stesso giorno dell'estrazione delle credenziali, suggerendo una stretta collaborazione tra gli operatori del botnet e Storm-0940.

Il CovertNetwork-1658 effettua un numero molto ridotto di tentativi di accesso per account al giorno, anche se si stima che ben 8.000 dispositivi compromessi siano attivi nella rete in un dato momento. Tuttavia, solo il 20% di questi è effettivamente coinvolto negli attacchi di password spray. Microsoft ha avvertito che l'infrastruttura del botnet ha subito un "declino costante e ripido" dopo la divulgazione pubblica, suggerendo che gli attori della minaccia stanno probabilmente acquisendo nuove infrastrutture con impronte digitali modificate per sfuggire al rilevamento. Questo fenomeno, unito al rapido turnover operativo delle credenziali compromesse, permette potenzialmente compromissioni di account su larga scala in più settori e regioni geografiche.