Un nuovo gruppo di cyber spionaggio legato a interessi statali e identificato come TGR STA 1030 ha compromesso almeno 70 organizzazioni tra enti governativi e infrastrutture critiche in 37 Paesi nell’arco dell’ultimo anno. La campagna mostra un approccio strutturato e di lungo periodo, con permanenza negli ambienti delle vittime per mesi e con l’obiettivo di sottrarre dati sensibili da server di posta elettronica e sistemi interni. Tra le informazioni esfiltrate figurano dettagli su negoziazioni finanziarie e contratti, dati bancari e di conto, oltre ad aggiornamenti operativi con rilevanza militare.

Oltre alle intrusioni confermate, il gruppo è stato osservato in attività di ricognizione verso infrastrutture governative associate a 155 Paesi tra novembre e dicembre 2025. I bersagli includono anche organismi di controllo alle frontiere e forze dell’ordine, ministeri delle finanze e dipartimenti collegati a economia, commercio, risorse naturali e diplomazia. Gli indicatori operativi suggeriscono un’origine asiatica, con preferenze linguistiche e strumenti regionali, oltre a finestre di attività coerenti con il fuso orario GMT+8.

Catena di attacco e tecniche di evasione

La catena di attacco parte spesso da email di phishing che indirizzano la vittima a un link verso un servizio di file hosting, dove viene scaricato un archivio ZIP contenente un loader. Il malware utilizza controlli anti-analisi per eludere sandbox automatiche, richiedendo specifiche condizioni ambientali come una risoluzione orizzontale minima e la presenza di un file esca con estensione PNG nella stessa directory. Superati i controlli, il loader effettua verifiche mirate su alcuni prodotti di sicurezza e procede al download di ulteriori componenti camuffati da immagini, usati come canale per distribuire un payload di tipo Cobalt Strike.

Sfruttamento vulnerabilità e persistenza

TGR STA 1030 sfrutta anche vulnerabilità N-day in diversi prodotti diffusi, inclusi software enterprise e soluzioni di collaborazione e rete, per ottenere accesso iniziale senza ricorrere a zero-day. Nelle fasi successive impiega framework di comando e controllo, web shell e strumenti di tunneling per muoversi lateralmente e mantenere la persistenza. È stato inoltre segnalato un rootkit per kernel Linux basato su eBPF capace di nascondere processi e file, rendendo più complessa la rilevazione su sistemi critici.