Un gruppo avanzato di minacce persistenti (APT) legato alla Cina ha colpito un’azienda militare delle Filippine sfruttando un sofisticato malware fileless denominato EggStreme. Questo framework malevolo, mai documentato prima, rappresenta una delle minacce più evolute nel panorama della cybersicurezza, grazie alla sua capacità di condurre operazioni di spionaggio a basso profilo, difficilmente rilevabili dai sistemi di difesa tradizionali.

Architettura e funzionamento di EggStreme

EggStreme si distingue per la sua architettura multi-stadio, che inizia con il payload EggStremeFuel, una DLL (mscorsvc.dll) utilizzata per il profiling del sistema e per instaurare la persistenza tramite EggStremeLoader. Da qui, viene lanciato EggStremeReflectiveLoader che attiva il componente centrale, EggStremeAgent: un backdoor completo che permette agli attaccanti di eseguire ricognizioni approfondite, movimenti laterali nella rete e furto di dati sensibili attraverso un keylogger iniettato nelle sessioni utente.

Il malware opera interamente in memoria, sfruttando la tecnica del DLL sideloading per l’esecuzione dei payload, senza lasciare tracce evidenti su disco. EggStremeAgent comunica con il server di comando e controllo (C2) sfruttando il protocollo Google Remote Procedure Call (gRPC), supportando ben 58 comandi differenti per eseguire azioni quali esecuzione di shellcode, escalation dei privilegi, esfiltrazione dei dati e ulteriori infezioni tramite moduli ausiliari come EggStremeWizard.

Tattiche di persistenza e resilienza

Durante l’attacco, gli autori hanno anche utilizzato la utility proxy Stowaway per consolidare il controllo sulla rete interna della vittima, garantendo una presenza persistente e resiliente contro eventuali tentativi di bonifica. EggStreme integra inoltre la capacità di mantenere la comunicazione con molteplici server C2, aumentando la capacità di sopravvivenza anche in caso di individuazione e blocco di alcuni server di controllo.

Contesto geopolitico e attribuzione

Questo attacco si inserisce in un contesto di crescente tensione geopolitica nell’area del Mar Cinese Meridionale, dove le Filippine sono spesso bersaglio di campagne di spionaggio attribuite a gruppi APT cinesi. Sebbene non sia stato possibile attribuire con certezza l’attacco a una singola entità nota, le finalità e le metodologie sono in linea con le operazioni di cyberspionaggio sponsorizzate dallo stato cinese.

EggStreme rappresenta dunque una minaccia sofisticata, in grado di eludere i controlli di sicurezza più comuni e di garantire agli attaccanti un accesso prolungato e silenzioso a dati sensibili e infrastrutture critiche.