Nel corso di una sofisticata campagna di spionaggio durata dieci mesi, le infrastrutture di telecomunicazioni nel Sud-est asiatico sono state bersaglio di un gruppo avanzato di cybercriminali identificato come CL-STA-0969. Questo attore, sostenuto da uno Stato, è riuscito a ottenere accesso remoto e persistente alle reti compromesse, sfruttando una vasta gamma di strumenti malevoli e tecniche di evasione.

Indagini e tecniche di attacco

Secondo le indagini condotte da Palo Alto Networks Unit 42, tra febbraio e novembre 2024 sono stati osservati diversi attacchi rivolti a infrastrutture di telecomunicazione critiche. Gli attacchi si sono distinti per l’impiego di malware altamente specializzati, come Cordscan, in grado di raccogliere dati di posizione da dispositivi mobili, e per l’adozione di tecniche di offuscamento per evitare la rilevazione da parte dei sistemi di sicurezza. Nonostante la complessa infiltrazione, non sono state trovate prove di esfiltrazione di dati né di tentativi di interagire direttamente con i dispositivi delle vittime.

Sovrapposizioni tecniche e vettori di compromissione

CL-STA-0969 mostra notevoli sovrapposizioni tecniche con altri gruppi noti come Liminal Panda, LightBasin e UNC2891, tutti legati a campagne di spionaggio e attacchi alle reti di telecomunicazioni a scopo di raccolta informazioni o per finalità finanziarie. In particolare, la compromissione iniziale delle reti è avvenuta spesso tramite attacchi brute-force sulle autenticazioni SSH, seguiti dall’installazione di vari impianti malevoli tra cui AuthDoor, GTPDOOR, EchoBackdoor, ChronosRAT e NoDepDNS. Questi strumenti consentono il furto di credenziali, l’accesso persistente tramite password segrete, il controllo remoto dei sistemi e la comunicazione nascosta tramite protocolli come ICMP e DNS.

Strumenti pubblici e tecniche di evasione

Oltre a utilizzare strumenti pubblici come Microsocks, FRP, FScan, Responder e ProxyChains, i criminali hanno sfruttato vulnerabilità note nei sistemi Linux e UNIX per ottenere privilegi elevati e muoversi indisturbati nella rete. Per aumentare il livello di furtività, sono stati adottati accorgimenti come il tunneling DNS, la cancellazione sistematica dei log, la disabilitazione di SELinux e la camuffatura dei processi malevoli con nomi legittimi.

Implicazioni strategiche

La campagna evidenzia la profonda conoscenza dei protocolli e dell’infrastruttura delle telecomunicazioni da parte di CL-STA-0969, che ha saputo sfruttare nodi e protocolli meno monitorati per mantenere un accesso costante e difficile da rilevare. Questo episodio si inserisce in un contesto di crescenti tensioni tra potenze mondiali, dove la cybersicurezza delle reti critiche si conferma un elemento strategico fondamentale.