Negli ultimi tempi la cybersecurity internazionale è stata messa alla prova da una serie di campagne di spionaggio informatico condotte da gruppi di hacker cinesi, in particolare Murky Panda, Genesis Panda e Glacial Panda. Questi attori sono noti per la loro sofisticazione nel penetrare ambienti cloud e infrastrutture del settore telecomunicazioni, sfruttando vulnerabilità zero-day e relazioni di fiducia tra fornitori e clienti.

Murky Panda

Il gruppo Murky Panda ha attirato recentemente l’attenzione degli esperti di sicurezza per aver sfruttato vulnerabilità note come CVE-2023-3519 su Citrix NetScaler ADC e Gateway e CVE-2025-3928 su Commvault. Grazie a questi exploit, gli attaccanti hanno distribuito web shell e un malware personalizzato denominato CloudedHope, scritto in Golang e progettato per operare come RAT (Remote Access Tool) con tecniche avanzate di anti-analisi e OPSEC per eludere i controlli di sicurezza. Murky Panda si distingue per la capacità di sfruttare rapidamente nuove falle e per l’abilità nel muoversi lateralmente all’interno degli ambienti cloud, soprattutto attraverso l’abuso di relazioni di fiducia tra tenant e partner, con l’obiettivo di ottenere accesso prolungato e furtivo alle email e ai dati sensibili delle vittime.

Genesis Panda

Parallelamente, Genesis Panda, attivo almeno da inizio 2024, si è concentrato su operazioni ad alto volume nei settori finanziario, media, telecomunicazioni e tecnologia in 11 paesi. Il gruppo mira a compromettere sistemi cloud-hosted, sfruttando vulnerabilità esposte su internet e utilizzando le credenziali ricavate per approfondire l’accesso nei cloud delle vittime. Genesis Panda si distingue per la continua enumerazione dei servizi cloud tramite query sugli Instance Metadata Service (IMDS), cercando di ottenere credenziali e informazioni di configurazione per mantenere la persistenza e ampliare le proprie capacità di movimento laterale.

Glacial Panda

Anche Glacial Panda si è aggiunto a questo scenario, concentrando le proprie attività di spionaggio sul settore telecomunicazioni. Questa minaccia ha colpito infrastrutture in diversi paesi, tra cui Stati Uniti, Asia e Africa, puntando in particolare a sistemi Linux legacy tramite l’abuso di vulnerabilità note come Dirty COW (CVE-2016-5195) e PwnKit (CVE-2021-4034). Tra le tecniche adottate, Glacial Panda impiega componenti OpenSSH trojanizzati, denominati ShieldSlide, che consentono accessi backdoor e furto di credenziali di autenticazione.

Questo scenario dimostra come i gruppi di hacker cinesi stiano evolvendo rapidamente, affinando tattiche di attacco cloud e privilegiando la furtività e la persistenza per assicurarsi l’accesso a dati strategici in settori chiave come cloud e telecomunicazioni.