Il gruppo APT24, noto anche come Pitty Tiger, è da anni al centro dell’attenzione nel panorama della sicurezza informatica per le sue attività di spionaggio informatico di matrice cinese. Recentemente, è stato scoperto l’utilizzo di un nuovo malware chiamato BADAUDIO, impiegato per mantenere l’accesso remoto persistente su reti compromesse in una campagna durata quasi tre anni, con particolare attenzione verso organizzazioni di Taiwan e più di mille domini coinvolti.
A differenza delle precedenti strategie che puntavano su compromissioni generalizzate di siti web legittimi, APT24 ha evoluto i suoi metodi, adottando vettori d’attacco più sofisticati. Tra questi, spiccano la compromissione ripetuta di una società di marketing digitale regionale per realizzare attacchi alla supply chain e campagne di phishing mirate. Settori come governo, sanità, costruzioni, ingegneria, telecomunicazioni e non profit negli Stati Uniti e Taiwan sono stati tra i principali bersagli.
Il malware BADAUDIO, scritto in C++ e altamente offuscato, utilizza tecniche di control flow flattening per ostacolare il reverse engineering. Funziona come downloader di primo stadio, scaricando, decifrando ed eseguendo un payload cifrato AES da un server di comando e controllo. Dopo aver raccolto informazioni di sistema, il server risponde con il payload da eseguire, che in alcuni casi si traduce nell’attivazione di un beacon di Cobalt Strike.
L’attacco si manifesta spesso come una DLL malevola, sfruttando il DLL Search Order Hijacking per essere eseguita tramite applicazioni legittime. Le versioni più recenti sono diffuse tramite archivi cifrati contenenti DLL, file VBS, BAT e LNK. Dal 2022 al 2025, oltre 20 siti web sono stati compromessi per iniettare JavaScript malevolo, escludendo utenti da macOS, iOS e Android, e inducendo al download di BADAUDIO tramite falsi popup di aggiornamento Chrome.
Da luglio 2024, APT24 ha sfruttato una società di marketing di Taiwan per iniettare codice malevolo in una popolare libreria JavaScript, estendendo la compromissione a oltre 1.000 domini. Il codice modificato simulava la comunicazione con un CDN legittimo e serviva script per fingerprinting e download del malware. Per un breve periodo, tutte le aziende che utilizzavano la libreria compromessa sono state esposte, prima che la restrizione tornasse su singoli domini.
APT24 ha inoltre intensificato le campagne di phishing, utilizzando tematiche legate ad associazioni animaliste per indurre le vittime a scaricare archivi cifrati contenenti BADAUDIO, sfruttando Google Drive e OneDrive per eludere i controlli. Tali messaggi impiegano anche pixel di tracciamento per monitorare l’apertura delle email e perfezionare l’attacco.
La sofisticazione delle tecniche, l’uso di supply chain compromise e l’abuso di servizi cloud legittimi dimostrano la pericolosità e persistenza di APT24 nel panorama dello spionaggio informatico.