Il gruppo di cyber spionaggio UNC6384, collegato alla Cina, è stato recentemente identificato come responsabile di una campagna mirata contro diplomatici nel Sud-est asiatico e altri obiettivi internazionali per favorire gli interessi strategici di Pechino. Questo attacco sofisticato si distingue per l’uso di tecniche avanzate di social engineering, certificati di firma del codice validi e metodi di esecuzione indiretta, il tutto volto a eludere i sistemi di sicurezza.

Attacco multi-fase e tecniche di diffusione

La campagna, rilevata nel marzo 2025, si basa su un attacco multi-fase che sfrutta il dirottamento dei portali captive – quelle pagine di accesso che spesso appaiono quando ci si collega a una rete Wi-Fi pubblica. Tramite un attacco adversary-in-the-middle (AitM), il traffico web della vittima viene reindirizzato verso un sito controllato dagli attaccanti, dal quale viene scaricato un downloader firmato digitalmente chiamato STATICPLUGIN. Questo componente è solo il primo passo per l’installazione in memoria di una variante del malware PlugX (o SOGU), denominata SOGU.SEC.

PlugX è una backdoor nota da anni, capace di eseguire comandi per esfiltrare file, registrare sequenze di tasti, aprire shell remote e scaricare plugin aggiuntivi per estendere le proprie funzionalità. Il malware viene spesso distribuito tramite dispositivi USB infetti, email di phishing contenenti allegati o link dannosi, oppure download di software compromessi. In questo caso, la diffusione avviene con un convincente aggiornamento falso di Adobe Plugin, presentato tramite il portale captive manipolato.

Dinamica dell’attacco e tecniche di evasione

Il processo dettagliato d’attacco prevede che il browser della vittima venga forzato a testare la connessione tramite una richiesta a un URL Google (gstatic.com). Il traffico viene poi intercettato e reindirizzato al sito malevolo, dove la vittima viene indotta a scaricare il presunto aggiornamento, che in realtà è il malware. Un ulteriore livello di sofisticazione è dato dall’uso di un certificato TLS valido, rilasciato da Let’s Encrypt, per rafforzare la credibilità della pagina di download fraudolenta.

Un elemento particolarmente critico è la firma digitale legittima del downloader STATICPLUGIN, ottenuta tramite certificati emessi a società reali come Chengdu Nuoxin Times Technology Co., Ltd. Questo escamotage permette agli attaccanti di superare molti controlli di sicurezza basati sull’affidabilità degli eseguibili firmati.

Implicazioni e prospettive

La campagna UNC6384 mette in evidenza come le minacce di cyber spionaggio cinesi siano in continua evoluzione, integrando tecniche AitM, ingegneria sociale e l’uso di certificati digitali validi. Questi elementi aumentano drasticamente l’efficacia e la capacità di evasione degli attaccanti.