Negli ultimi anni la sicurezza informatica è stata messa alla prova da sofisticati gruppi APT (Advanced Persistent Threat) cinesi che sfruttano tecniche sempre più innovative. Un esempio recente è l’utilizzo di uno strumento chiamato Spellbinder, progettato per consentire movimenti laterali nelle reti compromesse e facilitare attacchi adversary-in-the-middle (AitM). Questo tool sfrutta in modo ingegnoso la configurazione stateless IPv6 (SLAAC), manipolando il protocollo di autoconfigurazione degli indirizzi per intercettare e reindirizzare il traffico di rete.

Funzionamento di Spellbinder

Spellbinder permette agli attaccanti di impersonare un router IPv6, rispondendo alle richieste dei dispositivi di rete tramite pacchetti ICMPv6 e pubblicizzandosi come gateway predefinito. Così facendo, tutto il traffico di aggiornamento software di note applicazioni cinesi viene dirottato verso server controllati dagli hacker. In questo modo, software popolari come Sogou Pinyin e Tencent QQ diventano veicoli ideali per la distribuzione di downloader malevoli, che a loro volta installano backdoor modulari come WizardNet.

Fasi dell’attacco

L’attacco si svolge in più fasi: una volta ottenuto l’accesso iniziale alla rete, i cybercriminali distribuiscono un archivio ZIP contenente file eseguibili e una DLL malevola. L’esecuzione di questi componenti consente il caricamento di shellcode in memoria, attivando Spellbinder che inizia a intercettare e manipolare il traffico. Un aspetto chiave è la capacità di Spellbinder di rispondere alle query DNS dei software colpiti, fornendo indirizzi IP di server dannosi che distribuiscono aggiornamenti truccati contenenti malware.

Campagne e tecniche di distribuzione

Queste campagne, in corso almeno dal 2022, hanno colpito sia individui che settori specifici come quello del gioco d’azzardo in diverse regioni asiatiche. La catena di attacco mostra una grande attenzione all’aggiramento dei meccanismi di sicurezza, sfruttando non solo le vulnerabilità dei protocolli di rete, ma anche la fiducia riposta negli aggiornamenti software automatici. Non è la prima volta che gruppi cinesi utilizzano i canali di aggiornamento di Sogou Pinyin; in passato, malware come NSPX30 e LittleDaemon sono stati distribuiti con tecniche simili.

Altri strumenti e considerazioni

Oltre a Spellbinder, si segnala l’impiego di altri strumenti come DarkNights (o DarkNimbus), che viene utilizzato soprattutto sui dispositivi Android. La collaborazione tra vari team di hacker e aziende di sicurezza cinesi, come Dianke Network Security, rivela la presenza di una vera e propria filiera di produzione e distribuzione di malware.

Il caso Spellbinder sottolinea quanto sia fondamentale monitorare non solo le vulnerabilità note ma anche le configurazioni di rete avanzate come IPv6, spesso trascurate nei tradizionali audit di sicurezza.