Una campagna di cyber spionaggio attribuita a un gruppo APT collegato alla Cina sta prendendo di mira le reti di telecomunicazioni in Sud America almeno dal 2024. Il settore telecom è una delle infrastrutture critiche più appetibili per gli attaccanti perché gestisce traffico, metadati e servizi essenziali, e un accesso prolungato può offrire capacità di intercettazione e movimento laterale verso altri obiettivi strategici. L’attività è tracciata come UAT 9244 e mostra affinità operative con altri cluster noti per attacchi contro provider di telecomunicazioni, pur senza un collegamento definitivo.

Catena di infezione e impianti osservati

Gli analisti hanno osservato una catena di infezione che utilizza tre impianti distinti, progettati per coprire ambienti eterogenei.

Windows: TernDoor

Su Windows viene impiegato TernDoor, un backdoor distribuito tramite DLL side loading. In pratica viene sfruttato un eseguibile legittimo, wsprint.exe, per caricare una DLL malevola che decifra ed esegue il payload finale direttamente in memoria, riducendo le tracce su disco. Per mantenere la persistenza, il malware può creare una attività pianificata o usare la chiave di registro Run. Tra le funzionalità spiccano la raccolta di informazioni di sistema, la gestione di file e processi e la possibilità di eseguire comandi arbitrari. È presente anche un driver Windows integrato, usato per sospendere, riprendere o terminare processi e per nascondere componenti malevoli.

Linux ed embedded: PeerTime

Nel versante Linux e dispositivi embedded emerge PeerTime, un backdoor peer to peer compilato per più architetture come ARM, AARCH, PPC e MIPS, così da colpire anche sistemi integrati spesso presenti nelle reti telecom. Il payload viene distribuito con script shell e un binario strumentale che verifica la presenza di Docker e, se rilevato, avvia il loader. PeerTime può mascherarsi rinominandosi come processo innocuo e usa il protocollo BitTorrent per recuperare informazioni di comando e controllo, scaricare file dai peer ed eseguirli. Sono state viste varianti in C o C plus plus e una versione più recente in Rust, segnale di evoluzione tecnica e manutenzione attiva.

Edge/network devices: BruteEntry

Il terzo componente, BruteEntry, è orientato ai dispositivi di bordo rete e trasforma gli host compromessi in nodi proxy per scansioni massive. Attraverso componenti in Go, un orchestratore distribuisce il modulo che contatta il server di comando e controllo per ottenere una lista di indirizzi IP da attaccare con brute force contro servizi come Postgres, SSH e Tomcat, riportando gli accessi riusciti.