Il gruppo APT31, un gruppo di cyber spionaggio collegato alla Cina, è stato identificato come responsabile di una serie di attacchi informatici mirati contro il settore IT russo tra il 2024 e il 2025. Questi attacchi sono particolarmente sofisticati e si sono protratti per lunghi periodi senza essere rilevati, prendendo di mira in modo specifico aziende che lavorano come fornitori e integratori di soluzioni per enti governativi russi.

Attività e obiettivi di APT31

APT31, noto anche con altri nomi come Altaire, Judgement Panda e Violet Typhoon, è attivo dal 2010 e ha colpito vari settori a livello globale, tra cui pubblica amministrazione, finanza, difesa, telecomunicazioni e media. La principale finalità del gruppo è la raccolta di informazioni strategiche che possano avvantaggiare lo stato cinese e le sue imprese.

Tattiche di attacco e tecniche di evasione

Una delle caratteristiche più insidiose delle campagne di APT31 è l’utilizzo di servizi cloud legittimi, in particolare quelli diffusi in Russia come Yandex Cloud, per gestire il comando e controllo dei sistemi compromessi ed esfiltrare dati sensibili. Questo approccio consente agli attaccanti di confondersi con il traffico regolare e sfuggire ai controlli di sicurezza tradizionali. Inoltre, i comandi e i payload crittografati venivano ospitati su profili di social media, sia locali che internazionali, spesso sfruttando periodi festivi o fine settimana per ridurre ulteriormente le possibilità di rilevamento.

Strumenti e tecniche impiegati

Le tecniche di attacco includono il phishing mirato tramite email contenenti archivi RAR o ZIP che, una volta aperti, attivano malware come CloudyLoader attraverso la tecnica del DLL side-loading. Strumenti pubblici e malware custom vengono poi impiegati per consolidare la presenza nella rete e facilitare il furto di informazioni. Tra questi si annoverano:

• SharpADUserIP per la ricognizione
• SharpChrome.exe per l’estrazione di password dai browser
• Tailscale VPN per creare tunnel cifrati
• COFFProxy per gestire traffico e payload aggiuntivi
• VtChatter per il comando bidirezionale tramite file su VirusTotal
• OneDriveDoor e YaLeak per sfruttare i servizi cloud come canali di comunicazione e di esfiltrazione dati

Mantenimento della persistenza e tecniche di occultamento

Gli attaccanti mantengono la persistenza sulle macchine infette mascherando i loro strumenti come applicazioni legittime, ad esempio Yandex Disk o Google Chrome, e configurando task pianificati. L’uso di queste tecniche ha permesso ad APT31 di rimanere nascosto nelle infrastrutture colpite per anni, raccogliendo file, credenziali e informazioni riservate senza essere scoperto.