Un gruppo di hacker legato alla Cina è stato recentemente collegato a una sofisticata campagna di cyber spionaggio che ha visto la compromissione di un server ArcGIS, trasformato in una backdoor attiva per oltre un anno. Secondo quanto scoperto dagli esperti di sicurezza, l’operazione è stata orchestrata dal gruppo noto come Flax Typhoon, già identificato in passato con i nomi Ethereal Panda e RedJuliett e associato a una società quotata con sede a Pechino.

Gli attaccanti hanno dimostrato grande abilità, sfruttando una particolare estensione Java del server ArcGIS, denominata SOE (Server Object Extension), che è stata modificata per funzionare come una web shell. Questa modifica ha permesso agli hacker di mantenere il controllo esclusivo sull’accesso, grazie a una chiave hardcoded inserita direttamente nel codice e nei backup del sistema, assicurando una persistenza duratura anche dopo eventuali ripristini della macchina.

Tattiche e tecniche di attacco

La tattica adottata da Flax Typhoon si basa su metodologie “living-off-the-land”, ovvero l’uso di strumenti e componenti di sistema legittimi per eludere i controlli di sicurezza e mimetizzarsi nel traffico ordinario del server. Nel dettaglio, gli hacker hanno compromesso un account amministratore del portale ArcGIS pubblico, installando la SOE malevola che, tramite normali operazioni REST, consentiva l’esecuzione di comandi sul server interno senza destare sospetti.

Per mantenere il controllo e facilitare movimenti laterali, è stato caricato ed eseguito nel sistema un file SoftEther VPN rinominato come bridge.exe, configurato per avviarsi ad ogni riavvio del server. Questo componente stabiliva un canale VPN cifrato verso un indirizzo IP controllato dagli attaccanti, consentendo di estendere la rete interna verso l’esterno come se l’hacker fosse un utente legittimo all’interno dell’infrastruttura.

I cyber criminali hanno mirato in particolare alle workstation di due membri del personale IT, riuscendo a ottenere credenziali e ad approfondire ulteriormente la loro presenza nella rete. È stato inoltre rilevato che gli aggressori avevano la possibilità di resettare la password dell’account amministrativo, ampliando così il loro controllo.

Questo caso mette in luce la pericolosità nel trasformare funzionalità di sistema fidate in strumenti di attacco, evidenziando come la sicurezza non possa basarsi solo sul monitoraggio di attività anomale, ma debba saper riconoscere l’abuso di strumenti legittimi. L’attacco non si è basato su una vulnerabilità software nota, ma sull’utilizzo di una password debole e sulla manipolazione di componenti già esistenti, garantendo agli attori malevoli persistenza e stealth a lungo termine.