Il gruppo APT denominato Silver Dragon è stato collegato a una serie di cyber attacchi contro organizzazioni in Europa e nel Sud Est asiatico a partire almeno dalla metà del 2024. Le campagne osservate puntano soprattutto a enti governativi e combinano tecniche di intrusione su server esposti su internet con email di phishing contenenti allegati malevoli, un approccio che aumenta le probabilità di ottenere accesso iniziale in ambienti eterogenei.

Una volta dentro, Silver Dragon mira a mantenere la persistenza mascherando le attività malevole tramite l’abuso di servizi Windows legittimi. Questa scelta consente ai processi dannosi di confondersi con il traffico e i comportamenti normali del sistema operativo, riducendo la probabilità di rilevamento. Le analisi attribuiscono Silver Dragon all’area operativa di APT41, un gruppo noto per attività di cyber spionaggio e per l’uso di tool e infrastrutture modulari.

Elemento centrale delle intrusioni è l’impiego di Cobalt Strike, spesso tramite beacon utilizzati per consolidare la presenza sui sistemi compromessi. Per la comunicazione di comando e controllo (C2), gli attaccanti ricorrono anche a DNS tunneling, tecnica utile per eludere controlli di rete tradizionali e mantenere canali di comunicazione nascosti.

Sono state identificate tre catene di infezione principali per distribuire Cobalt Strike. Le prime due sfruttano archivi compressi e mostrano sovrapposizioni operative tipiche di scenari post-exploitation, spesso successivi al compromesso di server vulnerabili esposti.

Catene di infezione identificate

• Catena 1 (loader .NET): viene utilizzato un loader in ambiente .NET che decifra ed esegue in memoria uno stadio successivo fino al payload finale.
• Catena 2 (DLL + servizio Windows): compare un loader basato su DLL e servizio Windows che decifra e decomprime shellcode su disco e lo inietta in processi legittimi come taskhost.exe, con parametri configurabili.
• Catena 3 (phishing con LNK): si basa su phishing con allegati LNK malevoli, osservata in particolare contro obiettivi in Uzbekistan. Il collegamento avvia codice PowerShell tramite cmd.exe, estraendo più componenti tra cui un documento esca, un eseguibile legittimo vulnerabile al DLL sideloading e un payload Cobalt Strike cifrato.

Nelle fasi successive compaiono strumenti aggiuntivi come un tool di cattura screenshot, un’utility SSH per comandi remoti e un backdoor che usa Google Drive come canale C2, caricando file di heartbeat e scambiando comandi tramite estensioni diverse per indicare le azioni richieste e i risultati.