Negli ultimi anni i gruppi hacker legati alla Cina hanno intensificato la loro attività di spionaggio informatico sfruttando vulnerabilità note ma spesso non ancora completamente risolte in molte organizzazioni a livello globale. Un caso recente ha visto un gruppo attribuito alla Cina prendere di mira una organizzazione non profit statunitense attiva nell’influenzare le politiche internazionali degli Stati Uniti. Gli attaccanti sono riusciti a penetrare la rete tramite exploit su server vulnerabili, utilizzando falle come quelle di Atlassian (CVE-2022-26134), Apache Log4j (CVE-2021-44228), Apache Struts (CVE-2017-9805) e GoAhead Web Server (CVE-2017-17562).

Fasi dell'intrusione e tecniche utilizzate

Dopo una fase di ricognizione, sono stati impartiti comandi per analizzare la configurazione di rete e stabilire una presenza persistente sui sistemi compromessi. Gli hacker hanno creato task pianificati che sfruttavano binari legittimi di Microsoft per eseguire payload malevoli e mantenere l’accesso con privilegi elevati, spesso caricando codice in processi di sistema come csc.exe per comunicare con server di comando e controllo. Sono state inoltre osservate tecniche di sideloading di DLL tramite componenti antivirus legittimi, una strategia già associata a famigerati malware come Deed RAT e Snappybee, utilizzati da gruppi come Salt Typhoon, Earth Estries e Earth Longzhi, tutti collegati al cluster APT41.

Bersagli globali e tecniche avanzate

Le attività non si limitano agli Stati Uniti: gruppi cinesi hanno bersagliato settori strategici in Asia centrale, Europa, America Latina e Stati Uniti, sfruttando campagne di phishing, vulnerabilità di Microsoft Exchange (ProxyLogon) e tecniche avanzate come la compromissione dei dispositivi di rete per avvelenare il traffico DNS e dirottare aggiornamenti software legittimi. Tra le minacce più recenti spicca PlushDaemon, che compromette router per dirottare le richieste DNS, distribuendo backdoor dedicate per il controllo remoto.

Attacchi a server IIS e strumenti di persistenza

Un’altra tendenza riguarda l’attacco ai server Microsoft IIS mal configurati, sfruttando machine keys pubbliche per installare backdoor come TOLLBOOTH, dotate di funzionalità di web shell e SEO cloaking. L’accesso iniziale viene spesso sfruttato per installare strumenti come Godzilla web shell e rootkit HIDDENDRIVER che occultano la presenza dei malware. Queste campagne hanno colpito centinaia di server in tutto il mondo, con una concentrazione significativa in India e negli Stati Uniti, dimostrando l’efficacia e la persistenza delle strategie di attacco cinesi.

Condivisione di strumenti e rischi globali

La condivisione di strumenti malevoli tra diversi gruppi APT cinesi rende difficile attribuire con precisione gli attacchi, ma la tendenza è chiara: le vulnerabilità legacy sono ancora ampiamente sfruttate, e la persistenza nei sistemi compromessi rappresenta un serio rischio per enti pubblici e privati a livello globale.