GoldenJackal: L'ombra invisibile che minaccia le ambasciate con attacchi sofisticati
- News
- Visite: 688
GoldenJackal è un attore di minacce poco conosciuto che ha suscitato preoccupazione nella comunità della cybersecurity a causa delle sue sofisticate campagne di attacchi informatici rivolti contro ambasciate e organizzazioni governative. Questo gruppo si distingue per la capacità di infiltrarsi in sistemi isolati dalla rete (air-gapped) utilizzando due set di strumenti malevoli su misura. Tra le vittime identificate vi è un'ambasciata dell'Asia meridionale in Bielorussia e un'organizzazione governativa dell'Unione Europea.
Il principale obiettivo di GoldenJackal sembra essere il furto di informazioni riservate, in particolare da macchine di alto profilo non connesse a Internet. La loro presenza è stata rilevata per la prima volta nel maggio 2023, ma le loro attività risalgono almeno al 2019. Un elemento distintivo delle loro intrusioni è l'uso di un worm chiamato JackalWorm, capace di infettare le unità USB collegate, e di un trojan noto come JackalControl.
Sebbene non ci siano prove sufficienti per collegare le attività di GoldenJackal a uno specifico attore statale, è stato osservato un certo grado di sovrapposizione tattica con strumenti malevoli utilizzati in campagne attribuite a gruppi come Turla e MoustachedBouncer. Questi ultimi hanno anch'essi preso di mira ambasciate straniere in Bielorussia. GoldenJackal è stato scoperto da ESET in più occasioni, con attacchi che hanno visto l'uso di toolset completamente rinnovati tra il 2022 e il 2024.
La capacità di GoldenJackal di sviluppare e distribuire due set di strumenti distinti per compromettere sistemi air-gapped in cinque anni è un segnale della loro sofisticazione e consapevolezza delle segmentazioni di rete utilizzate dai loro bersagli. Gli attacchi all'ambasciata dell'Asia meridionale in Bielorussia sono avvenuti utilizzando diverse famiglie di malware, tra cui GoldenDealer e GoldenHowl, un backdoor modulare con capacità di furto file e creazione di tunnel SSH.
Gli attacchi contro l'organizzazione governativa europea hanno impiegato un nuovo insieme di strumenti malevoli, scritti principalmente in Go, progettati per raccogliere file da unità USB e diffondere malware tramite queste. GoldenUsbCopy e il suo successore GoldenUsbGo monitorano le unità USB per la copia e l'esfiltrazione di file, mentre GoldenAce è utilizzato per propagare il malware ad altri sistemi.
Non è ancora chiaro come GoldenJackal riesca a ottenere l'accesso iniziale ai sistemi target. Si ipotizza che installatori Skype trojanizzati e documenti Microsoft Word malevoli possano fungere da vettori di accesso. GoldenDealer, uno dei malware chiave, agisce copiando se stesso e un componente worm sconosciuto su unità USB, facilitando la trasmissione di informazioni critiche a server esterni.