Un recente attacco informatico attribuito al gruppo TA415, collegato alla Cina, ha preso di mira esperti e istituzioni statunitensi impegnate nelle relazioni economiche tra Stati Uniti e Cina. L’operazione, svelata da Proofpoint, si è svolta tra luglio e agosto 2025 e ha coinvolto campagne di spear-phishing che simulavano comunicazioni autorevoli, come quelle del presidente della Select Committee on Strategic Competition tra Stati Uniti e Partito Comunista Cinese, e del U.S.-China Business Council. L’obiettivo era colpire individui e organizzazioni attivi in ambiti come politica economica, commercio internazionale e relazioni diplomatiche.

Gli attaccanti hanno utilizzato l’indirizzo email “Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.” e servizi VPN come Cloudflare WARP per mascherare l’origine delle attività. Le email contenevano link a archivi protetti da password ospitati su piattaforme cloud pubbliche come Zoho WorkDrive, Dropbox e OpenDrive. All’interno di questi archivi era nascosto un file LNK (collegamento Windows) che, se eseguito, avviava uno script batch. Questo script mostrava all’utente un PDF come esca, mentre in background attivava un loader Python offuscato denominato WhirlCoil.

In passato, varianti simili di questa catena di infezione scaricavano WhirlCoil da siti come Pastebin, ma ora il loader si trova direttamente all’interno dell’archivio. Lo script crea anche un’attività pianificata sul sistema compromesso, con nomi come GoogleUpdate o MicrosoftHealthcareMonitorNode, che garantisce la persistenza dell’attacco eseguendo il loader ogni due ore, spesso con privilegi di amministratore.

Il passo successivo dell’attacco prevede l’utilizzo di WhirlCoil per instaurare un tunnel remoto tramite Visual Studio Code, fornendo così all’aggressore un accesso continuativo al file system e la possibilità di eseguire comandi sul terminale integrato della macchina vittima. Oltre a raccogliere informazioni di sistema e dati dalle directory utente, il malware invia queste informazioni, insieme al codice di verifica del tunnel remoto, a servizi gratuiti di logging come requestrepo.com, codificati in base64 all’interno di una richiesta HTTP POST.

Questa tecnica di compromissione, che sfrutta Visual Studio Code Remote Tunnels, riprende metodi già utilizzati nel 2024 contro settori industriali come quello aerospaziale, chimico e manifatturiero. L’efficacia di TA415 risiede nella capacità di aggirare i controlli di sicurezza tradizionali, sfruttando strumenti legittimi per ottenere accesso remoto e mantenere la persistenza nei sistemi bersaglio, rendendo la sicurezza informatica e la consapevolezza delle minacce più importanti che mai.