L'azienda di cybersecurity SentinelOne ha recentemente scoperto una campagna di spionaggio legata alla Cina, denominata PurpleHaze, che ha preso di mira la sua infrastruttura e alcuni clienti di alto valore. Gli esperti di sicurezza di SentinelOne sono venuti a conoscenza di questo gruppo durante un'intrusione del 2024, che ha coinvolto un'organizzazione fornitrice di servizi logistici per i dipendenti di SentinelOne. PurpleHaze è collegato a un altro gruppo sponsorizzato dallo stato, noto come APT15, e ha anche preso di mira un'entità di supporto governativo del Sud Asia, utilizzando una rete di relay operativi e una backdoor per Windows chiamata GoReShell.

GoReShell, scritto nel linguaggio di programmazione Go, utilizza uno strumento open source chiamato reverse_ssh per stabilire connessioni SSH inverse verso endpoint sotto il controllo degli attaccanti. I ricercatori hanno notato che l'uso di reti ORB è una tendenza crescente tra questi gruppi di minacce, in quanto queste reti possono essere rapidamente espanse per creare un'infrastruttura dinamica che rende difficile il tracciamento delle operazioni di cyber spionaggio e la loro attribuzione.

Un'altra entità governativa del Sud Asia è stata presa di mira con ShadowPad, un backdoor ampiamente condiviso tra i gruppi di spionaggio legati alla Cina. ShadowPad è stato utilizzato anche per distribuire ransomware, rendendo poco chiaro l'obiettivo finale degli attacchi. Gli artefatti di ShadowPad sono stati offuscati utilizzando un compilatore su misura chiamato ScatterBrain. Questo strumento è stato impiegato in attacchi che hanno colpito oltre 70 organizzazioni in settori come manifattura, governo, finanza, telecomunicazioni e ricerca, sfruttando probabilmente una vulnerabilità di giorno N nei dispositivi gateway di Check Point.

SentinelOne ha rilevato anche tentativi da parte di lavoratori IT allineati alla Corea del Nord di ottenere posizioni lavorative nella sua azienda, utilizzando circa 360 identità false e oltre 1.000 domande di lavoro. Inoltre, operatori di ransomware hanno cercato di accedere a strumenti di SentinelOne e altre piattaforme di sicurezza aziendale per valutare la capacità del loro software di evitare il rilevamento. Ciò è alimentato da un'economia sotterranea attiva che ruota attorno all'acquisto, vendita e noleggio di accesso a tali offerte di sicurezza aziendale su app di messaggistica e forum come XSS[.]is, Exploit[.]in e RAMP.

Un gruppo di ransomware che si distingue per la sua strategia unica è Nitrogen, gestito da un cittadino russo. A differenza delle tecniche tradizionali, Nitrogen impersona aziende reali creando domini simili, indirizzi email falsificati e infrastrutture clonate per acquistare licenze ufficiali per EDR e altri prodotti di sicurezza. Questo tipo di ingegneria sociale viene eseguito con precisione, puntando a piccoli rivenditori poco controllati.