Una campagna di cyber attacchi di lunga durata ha preso di mira organizzazioni ad alto valore in Asia meridionale, sud orientale e orientale, con un focus particolare su infrastrutture critiche e settori sensibili come aviazione, energia, pubblica amministrazione, forze dell’ordine, farmaceutico, tecnologia e telecomunicazioni. Il gruppo responsabile è stato identificato come CL-UNK-1068 e, secondo le analisi disponibili, l’obiettivo principale appare il cyber espionage, cioè la raccolta silenziosa di informazioni e credenziali nel tempo.

Modello operativo e accesso iniziale

Il modello operativo osservato combina exploit su web server e l’uso di web shell per ottenere accesso iniziale e mantenere persistenza. Tra gli strumenti ricorrenti compaiono web shell note come Godzilla e ANTSWORD, oltre a componenti per accesso remoto e movimento laterale. Il gruppo dimostra inoltre capacità multi piattaforma, operando sia su ambienti Windows sia Linux, con un set di tool adattato ai diversi sistemi.

Raccolta dati e ricerca mirata su server compromessi

Una volta compromesso un server web Windows, gli attaccanti cercano spesso file e configurazioni utili a scoprire vulnerabilità o credenziali. Sono stati citati pattern di ricerca mirati a estensioni e file tipici di applicazioni web e componenti server, oltre a materiale informativo come:

• Cronologia e preferiti del browser
• Documenti XLSX e CSV presenti su desktop e cartelle utente
• Backup di database in formato BAK su server MS SQL

Questo approccio indica una strategia di data harvesting orientata a intelligence e accessi successivi.

Esfiltrazione dati tramite output della web shell

Particolarmente interessante è la tecnica di esfiltrazione dati. Invece di caricare file verso l’esterno, gli attaccanti comprimono i contenuti con WinRAR, poi codificano l’archivio in Base64 tramite certutil e infine visualizzano il testo risultante direttamente nella sessione della web shell usando comandi di output. In questo modo possono sottrarre dati anche quando la shell consente solo esecuzione comandi e lettura output, riducendo la necessità di canali di trasferimento tradizionali.

Esecuzione stealth, LOLBIN e ricognizione

Per l’esecuzione stealth sono stati osservati anche abusi di eseguibili Python legittimi come python.exe e pythonw.exe impiegati per DLL side loading, avviando componenti malevoli come proxy per accesso persistente e tool di scanning. Sul fronte ricognizione e raccolta informazioni, l’attività include utility personalizzate e script batch per mappare l’ambiente e preparare le fasi successive.

Furto credenziali e impatti sulla difesa

La catena si completa con tecniche di furto credenziali, tra cui Mimikatz per estrarre password dalla memoria e strumenti per intercettare logon o recuperare hash e credenziali anche su Linux tramite dump di memoria e framework di analisi. Per la difesa diventa essenziale:

• Rafforzare la sicurezza dei web server con patching e hardening
• Monitorare l’uso anomalo di certutil e comandi di encoding/Base64
• Applicare controlli su LOLBIN e side loading (in particolare su eseguibili Python legittimi)