Negli ultimi mesi, un gruppo di cyber spionaggio legato alla Cina ha preso di mira oltre 70 organizzazioni operanti in settori critici come governo, finanza, telecomunicazioni, manifatturiero e ricerca. Queste attività malevole, riscontrate tra luglio 2024 e marzo 2025, hanno incluso anche aziende di rilievo nel settore della cybersicurezza, come SentinelOne. Gli attacchi sono stati attribuiti con elevata certezza a gruppi di minaccia noti come PurpleHaze, che condividono caratteristiche operative con gli attori APT15 e UNC5174.

Sei cluster di attività distinti

Le indagini hanno rivelato sei cluster di attività distinti, ognuno rappresentante una diversa ondata di intrusioni. Tra questi, si segnalano l’attacco a un ente governativo del Sud Asia, compromissioni di aziende IT e logistiche, e un’intrusione in una primaria organizzazione mediatica europea. In particolare, il gruppo ha utilizzato tecniche di ricognizione per mappare server esposti su internet, potenzialmente in preparazione di azioni più invasive. In alcuni casi, è stato sfruttato software avanzato come ShadowPad, reso ancora più difficile da intercettare tramite l’uso di strumenti come ScatterBrain.

Impiego di malware e strumenti pubblici

Un aspetto significativo di queste campagne è l’impiego di malware e backdoor sofisticati, tra cui GoReShell, una reverse shell basata su SSH, utilizzata sia contro entità governative che contro media europei. Inoltre, per la prima volta, sono stati individuati strumenti sviluppati da esperti di sicurezza IT resi disponibili pubblicamente, come quelli di The Hacker’s Choice, impiegati da attori statali per operazioni malevole.

Attività di UNC5174 e sfruttamento di vulnerabilità

L’attività di UNC5174 è particolarmente degna di nota: il gruppo, attivo come initial access broker, è stato collegato allo sfruttamento di vulnerabilità critiche come CVE-2024-8963 e CVE-2024-8190, compromettendo sistemi prima ancora che i dettagli delle vulnerabilità venissero resi pubblici. Successivamente, l’accesso ottenuto veniva trasferito ad altri attori, ampliando il potenziale impatto delle intrusioni.

Evoluzione delle campagne di cyber spionaggio

Le campagne di cyber spionaggio cinesi dimostrano un’evoluzione nelle strategie di attacco, con un uso combinato di infrastrutture operative sofisticate, exploit zero-day e strumenti legittimi adattati a scopi malevoli. La varietà dei settori colpiti suggerisce un’ampia raccolta di intelligence e una crescente aggressività da parte di questi gruppi, sottolineando l’importanza di rafforzare le difese e monitorare costantemente le minacce emergenti.