Negli ultimi anni la comunità tibetana è stata presa di mira da sofisticati attacchi di cyber spionaggio orchestrati da gruppi legati alla Cina. In occasione del novantesimo compleanno del Dalai Lama, i ricercatori di sicurezza hanno identificato due campagne malevole che sfruttano l’interesse per questa ricorrenza per colpire utenti tibetani attraverso tecniche avanzate. Queste operazioni, denominate Operation GhostChat e Operation PhantomPrayers, sono state rilevate dagli analisti di Zscaler ThreatLabz e rappresentano un esempio di come i gruppi APT cinesi adottino strategie di attacco mirate e di lunga durata.

Compromissione dei siti e tecniche di attacco

I criminali informatici hanno compromesso siti web legittimi frequentati dalla comunità tibetana, inserendo link malevoli che reindirizzano le vittime verso pagine fasulle simili agli originali. Una delle trappole sfrutta una finta pagina celebrativa del Dalai Lama, nella quale è proposta una chat cifrata chiamata TElement, presentata come una variante tibetana del noto software open source Element. In realtà, l’applicazione scaricata contiene una DLL malevola che, tramite tecnica di sideloading, installa sul sistema della vittima il trojan Gh0st RAT. Questo malware consente agli attaccanti di gestire da remoto il computer infettato, accedendo a file, attivando la webcam, registrando audio e video, intercettando la tastiera e manipolando i processi in corso.

Operation PhantomPrayers e backdoor PhantomNet

Parallelamente, la seconda campagna PhantomPrayers utilizza un’applicazione fasulla chiamata “90th Birthday Global Check-in”, che invita gli utenti a inviare messaggi di auguri al Dalai Lama localizzandosi su una mappa interattiva. Anche in questo caso, il programma esegue in background una DLL che lancia il backdoor PhantomNet, progettato per ricevere ulteriori moduli malevoli da un server di comando e controllo e operare in modo furtivo, anche solo in determinate fasce orarie, per eludere i sistemi di rilevamento.

Strategie e strumenti utilizzati dagli attaccanti

Entrambe le campagne utilizzano strategie di watering hole, compromettendo siti frequentati da un target specifico per distribuire malware. Gruppi come EvilBamboo, Evasive Panda e TAG-112 hanno già adottato tattiche simili contro la diaspora tibetana con l’obiettivo di carpire informazioni riservate. I malware Gh0st RAT e PhantomNet sono strumenti potenti nelle mani degli attaccanti perché permettono un controllo totale del sistema e la raccolta di dati sensibili senza destare sospetti nell’utente.

Consapevolezza e prevenzione

Questi attacchi sottolineano l’importanza di una maggiore consapevolezza nell’ambito della sicurezza informatica, soprattutto per comunità vulnerabili e gruppi a rischio di sorveglianza statale. È fondamentale prestare attenzione ai link ricevuti, evitare di scaricare applicazioni da fonti non ufficiali e mantenere aggiornati gli strumenti di difesa per proteggersi da minacce sempre più sofisticate.