Una campagna di cyber spionaggio attribuita a un gruppo legato alla Cina sta prendendo di mira organizzazioni militari nel Sud Est asiatico almeno dal 2020, con un approccio orientato alla raccolta di intelligence mirata invece che al furto massivo di dati. L’operazione è stata tracciata come CL-STA-1087 e mostra caratteristiche tipiche di una Advanced Persistent Threat (APT), come metodi di consegna curati, tecniche di evasione delle difese, infrastrutture stabili e payload personalizzati per mantenere accesso prolungato ai sistemi compromessi.

Gli strumenti principali osservati includono i backdoor AppleChris e MemFun, oltre a un componente per il furto di credenziali chiamato Getpass. L’attività è emersa dopo il rilevamento di esecuzioni sospette di PowerShell, dove lo script entra in uno stato di sleep di circa sei ore e poi crea reverse shell verso un server di command and control controllato dagli attaccanti. Il vettore di accesso iniziale non risulta confermato, ma la catena di infezione evidenzia movimento laterale e distribuzione di varianti diverse per persistenza e riduzione della rilevabilità.

AppleChris

AppleChris viene distribuito su endpoint differenti dopo la fase di lateral movement e consente una gamma ampia di comandi, tra cui enumerazione dei dischi, listing di directory, upload e download di file, cancellazione, enumerazione dei processi e esecuzione remota di shell.

Un elemento chiave è l’uso di servizi legittimi come Pastebin e in alcuni casi Dropbox come dead drop resolver per recuperare l’indirizzo reale del C2, spesso codificato in Base64. Le tracce su Pastebin risalgono a settembre 2020, suggerendo continuità operativa. AppleChris può essere avviato anche tramite DLL hijacking e alcune varianti includono timer di ritardo per eludere sandbox automatiche.

MemFun

MemFun adotta una catena multi-stage più modulare. Un loader iniziale inietta shellcode che avvia un downloader in memoria, recupera la configurazione C2 da Pastebin e scarica una DLL a runtime, permettendo di cambiare payload senza modificare la struttura di base. La fase di esecuzione include controlli anti-forensi e tecniche come process hollowing su un processo legittimo come dllhost.exe, riducendo gli artefatti su disco.

Getpass

Getpass, basato su una versione personalizzata di Mimikatz, punta a escalation dei privilegi ed estrazione di password in chiaro, hash NTLM e dati di autenticazione dalla memoria di lsass.exe, aumentando l’impatto su account e accessi privilegiati.

Gli attaccanti mostrano pazienza operativa, mantenendo accessi dormienti per mesi mentre cercano file su capacità militari, strutture organizzative, attività congiunte e sistemi C4I.