Un nuovo cluster di minacce informatiche allineato alla Cina, identificato come LongNosedGoblin, è stato collegato a una serie di attacchi mirati contro enti governativi nel Sud Est Asiatico e in Giappone. L’obiettivo principale di queste campagne è lo spionaggio informatico, con attività osservate almeno da settembre 2023 e una crescita operativa nel corso del 2024. Il tratto distintivo dell’operazione è l’uso di Windows Group Policy come canale di distribuzione del malware all’interno di reti già compromesse, una scelta che consente agli attaccanti di propagare strumenti e payload in modo centralizzato, sfruttando meccanismi amministrativi legittimi tipici degli ambienti Active Directory.
Group Policy è una funzione di gestione che permette di applicare configurazioni e permessi a gruppi di utenti e computer Windows. Se un attore malevolo ottiene accesso sufficiente al dominio, può abusare delle policy per distribuire software non autorizzato, eseguire script e modificare impostazioni su più endpoint. In questo scenario, la distribuzione tramite Group Policy riduce la necessità di muoversi manualmente macchina per macchina e aumenta la persistenza, rendendo più complessa l’individuazione nelle fasi iniziali.
Il toolkit osservato è composto soprattutto da applicazioni C# e .NET progettate per raccolta dati, esfiltrazione e controllo remoto. Tra i componenti spicca NosyHistorian, usato per raccogliere la cronologia dei browser più diffusi come Chrome, Edge e Firefox. Per il controllo remoto, NosyDoor agisce da backdoor e utilizza Microsoft OneDrive come infrastruttura di comando e controllo, permettendo di esfiltrare file, cancellarli e lanciare comandi di shell. A supporto dell’esfiltrazione c’è anche NosyStealer, che invia dati del browser verso Google Drive sotto forma di archivio TAR cifrato. La catena di infezione include NosyDownloader, capace di scaricare ed eseguire payload in memoria, e NosyLogger, un keylogger basato su una versione modificata di un progetto noto per la registrazione dei tasti.
Le analisi indicano un approccio selettivo: molte vittime risultano colpite da moduli di raccolta dati, ma solo una parte riceve la backdoor completa, suggerendo fasi di selezione e validazione del bersaglio. In alcuni casi sono presenti guardrail di esecuzione, pensati per limitare l’attività a macchine specifiche. Sono stati inoltre osservati strumenti aggiuntivi come proxy SOCKS5 inversi, utility per registrazione audio-video e un loader per Cobalt Strike. Un ulteriore elemento rilevante è l’uso di diversi servizi cloud come canali C2, inclusi anche provider alternativi, un segnale di flessibilità e possibile condivisione del malware tra gruppi diversi.
