Una campagna di cyber espionage attribuita a un attore APT di lingua cinese sta colpendo il Sudest asiatico con un nuovo backdoor personalizzato chiamato TinyRCT. Le vittime principali includono enti governativi e infrastrutture critiche, con particolare attenzione ad aziende statali nei settori energia e pubblica amministrazione.
Il cluster di attacco viene identificato come CL STA 1062 e mostra sovrapposizioni con attività precedentemente osservate contro infrastrutture web in Taiwan, segnalando una continuità operativa e un interesse strategico regionale già dal 2022.
Panoramica tecnica e toolkit impiegato
Dal punto di vista tecnico, la minaccia si distingue per un toolkit ibrido che combina strumenti open source e componenti su misura. Tra gli strumenti comunemente impiegati compaiono SoftEther VPN, Mimikatz e VNT, usati per accesso remoto, movimento laterale e raccolta di credenziali. L’elemento nuovo è TinyRCT, un trojan di accesso remoto leggero sviluppato in .NET, progettato per offrire controllo e persistenza, e per ampliare le capacità di esfiltrazione dati.
Capacità di TinyRCT
TinyRCT consente esecuzione di comandi arbitrari, enumerazione e furto di file, acquisizione di screenshot e cancellazione autonoma dal sistema compromesso. Integra inoltre controlli per evitare l’esecuzione in ambienti sandbox, aumentando le probabilità di eludere analisi automatiche.
Comunicazione C2 e cifratura
La comunicazione con il server di comando e controllo avviene su HTTP, ma i dati scambiati risultano cifrati con AES-128 in modalità CBC. Il malware adotta un modello a beacon con intervallo predefinito di 10 secondi, interrogando il C2 tramite richieste GET e inviando dati esfiltrati tramite POST.
Intrusioni osservate e tecniche di accesso iniziale
Le intrusioni osservate includono l’uso di web shell ASPX per ottenere un punto d’appoggio iniziale, svolgere ricognizione interna e avviare richieste in uscita verso infrastrutture controllate dagli attaccanti. In un caso, gli operatori hanno esfiltrato dati da un server MS SQL e hanno effettuato ricognizione su un secondo ente governativo nello stesso paese, suggerendo ricerca attiva di opportunità di lateral movement. Sono stati documentati compromessi multipli in un arco temporale di pochi mesi, con almeno dieci organizzazioni colpite.
Catena di distribuzione e tecniche di mascheramento
La catena di distribuzione di TinyRCT può partire da un archivio malevolo camuffato da installer legittimo (ad esempio chrome setup zip), contenente un eseguibile autentico e una DLL rogue. Questa DLL abilita una tecnica di AppDomainManager injection per caricare il componente downloader, che recupera il payload TinyRCT identificato come PerfWatson2.exe da un server remoto. Gli attaccanti spesso mascherano strumenti e archivi RAR come processi VMware o agenti XDR, usando nomi come vmtools.exe o XDRAgent.exe per ridurre i sospetti e mantenere l’accesso.