Il gruppo di cybercriminali APT41, noto anche come Winnti o Wicked Panda, è tornato all’attacco sfruttando una tecnica innovativa che coinvolge Google Calendar come sistema di comando e controllo (C2) per la diffusione di malware. Secondo recenti rivelazioni, APT41 ha utilizzato un malware chiamato TOUGHPROGRESS per comunicare e gestire dispositivi infetti sfruttando eventi programmati su Google Calendar, approfittando dei servizi cloud per mascherare le proprie operazioni tra il traffico legittimo.

Google ha scoperto questa attività sospetta a fine ottobre 2024, individuando il malware su un sito governativo compromesso e impiegato per colpire altre organizzazioni pubbliche. L’attacco inizia con email di spear-phishing che contengono un link a un archivio ZIP ospitato sul sito compromesso. Una volta scaricato, l’utente trova una cartella con immagini e un collegamento LNK che simula un documento PDF. L’apertura del file LNK attiva la catena d’infezione, mostrando un finto PDF ma avviando in realtà un payload crittografato.

Moduli del malware

Il malware sfrutta tre moduli distinti:

• PLUSDROP: decripta ed esegue il passaggio successivo in memoria.
• PLUSINJECT: utilizza la tecnica del process hollowing per iniettare il payload finale in un processo di sistema legittimo (svchost.exe).
• TOUGHPROGRESS: si connette a Google Calendar per ricevere comandi e trasmettere dati rubati.

Le comunicazioni tra malware e operatori avvengono tramite eventi creati su Google Calendar a una data specifica: i comandi cifrati vengono inseriti nelle descrizioni degli eventi, il malware li estrae, li decifra, esegue le istruzioni e invia i risultati sempre tramite nuovi eventi, garantendo una comunicazione bidirezionale nascosta.

Risposta di Google e rischi

Google ha prontamente disabilitato il calendario malevolo e i progetti associati in Workspace, informando anche le organizzazioni colpite. Tuttavia, la portata dell’attacco non è ancora completamente nota. L’utilizzo di servizi cloud legittimi come Google Calendar rende più difficile per i sistemi di sicurezza identificare e bloccare questo tipo di traffico malevolo.

Precedenti attività di APT41

Non è la prima volta che APT41 sfrutta i servizi Google per scopi illeciti: già nel 2023 era stato rilevato l’uso di Google Drive e Google Sheets per operazioni di comando e controllo attraverso strumenti open source come GC2. Questi attacchi confermano come i servizi cloud possano essere sfruttati per eludere i controlli e aumentare il successo delle campagne di cyber spionaggio.