Recentemente, un gruppo di hacker basati in Cina è stato collegato a una serie di attacchi informatici contro organizzazioni di alto profilo nel Sud-est asiatico a partire da ottobre 2023. Questi attacchi hanno preso di mira settori chiave, tra cui ministeri governativi di due paesi, un'organizzazione di controllo del traffico aereo, una compagnia di telecomunicazioni e un media outlet, secondo un nuovo rapporto del Symantec Threat Hunter Team.

La campagna di spionaggio

La campagna di spionaggio si distingue per l'uso di strumenti avanzati associati a gruppi di minaccia persistenti avanzati (APT) cinesi, caratterizzati dall'impiego di tecniche sia open-source che di living-off-the-land (LotL). Tra le tecnologie impiegate vi sono programmi di proxy inverso come Rakshasa e Stowaway, strumenti per la scoperta e identificazione di asset, keylogger e software per il furto di password. Un altro strumento utilizzato è PlugX, noto anche come Korplug, un trojan di accesso remoto ampiamente utilizzato dai gruppi di hacking cinesi.

Symantec ha osservato che i malintenzionati installano anche file DLL personalizzati che fungono da filtri per meccanismi di autenticazione, consentendo loro di intercettare credenziali di accesso. Tuttavia, non è stato possibile determinare il vettore iniziale di infezione in nessuno degli attacchi analizzati.

Dettagli degli attacchi

In uno degli attacchi, durato tre mesi tra giugno e agosto 2024, gli attaccanti hanno condotto attività di ricognizione e dumping delle password, installando un keylogger e eseguendo payload DLL per catturare informazioni di accesso degli utenti. Gli attaccanti sono riusciti a mantenere l'accesso nascosto alle reti compromesse per periodi prolungati, permettendo loro di raccogliere password e mappare le reti di interesse. Le informazioni raccolte sono state compresse in archivi protetti da password usando WinRAR e successivamente caricate su servizi di cloud storage come File.io.

La durata prolungata dell'intrusione e l'approccio calcolato degli attaccanti evidenziano la sofisticazione e persistenza di questi gruppi di minaccia. La posizione geografica delle organizzazioni bersaglio e l'uso di strumenti precedentemente collegati a gruppi APT cinesi suggeriscono che tali attività siano opera di attori basati in Cina.

Complessità e attribuzione

La difficoltà nell'attribuire questi attacchi a un gruppo specifico di hacker cinesi sottolinea la complessità nel monitorare i gruppi di spionaggio informatico, poiché spesso condividono strumenti e utilizzano tattiche simili. Le tensioni geopolitiche nel Sud-est asiatico, legate a dispute territoriali nel Mar Cinese Meridionale, sono state accompagnate da una serie di attacchi informatici nella regione, come dimostrato dall'attività di gruppi come Unfading Sea Haze, Mustang Panda, CeranaKeeper e Operation Crimson Palace.

Questa scoperta è avvenuta poco dopo che SentinelOne SentinelLabs e Tinexta Cyber hanno rivelato attacchi condotti da un gruppo di spionaggio informatico legato alla Cina contro grandi fornitori di servizi IT business-to-business nel Sud Europa, nell'ambito di un'attività denominata Operation Digital Eye.