Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
APT31 all’attacco: Cyberspionaggio cinese sfrutta il cloud russo per colpire aziende IT senza essere scoperto
Il gruppo APT31, un gruppo di cyber spionaggio collegato alla Cina, è stato identificato come responsabile di una serie di attacchi informatici mirati contro il settore IT russo tra il 2024 e il 2025. Questi attacchi sono particolarmente sofisticati e si sono protratti per lunghi periodi senza essere rilevati, prendendo di mira in modo specifico aziende che lavorano come fornitori e integratori di soluzioni per enti governativi russi.
Attività e obiettivi di APT31
APT31, noto anche con altri nomi come Altaire, Judgement Panda e Violet Typhoon, è attivo dal 2010 e ha colpito vari settori a livello globale, tra cui pubblica amministrazione, finanza, difesa, telecomunicazioni e media. La principale finalità del gruppo è la raccolta di informazioni strategiche che possano avvantaggiare lo stato cinese e le sue imprese.
Tattiche di attacco e tecniche di evasione
Una delle caratteristiche più insidiose delle campagne di APT31 è l’utilizzo di servizi cloud legittimi, in particolare quelli diffusi in Russia come Yandex Cloud, per gestire il comando e controllo dei sistemi compromessi ed esfiltrare dati sensibili. Questo approccio consente agli attaccanti di confondersi con il traffico regolare e sfuggire ai controlli di sicurezza tradizionali. Inoltre, i comandi e i payload crittografati venivano ospitati su profili di social media, sia locali che internazionali, spesso sfruttando periodi festivi o fine settimana per ridurre ulteriormente le possibilità di rilevamento.
Strumenti e tecniche impiegati
Le tecniche di attacco includono il phishing mirato tramite email contenenti archivi RAR o ZIP che, una volta aperti, attivano malware come CloudyLoader attraverso la tecnica del DLL side-loading. Strumenti pubblici e malware custom vengono poi impiegati per consolidare la presenza nella rete e facilitare il furto di informazioni. Tra questi si annoverano:
- SharpADUserIP per la ricognizione
- SharpChrome.exe per l’estrazione di password dai browser
- Tailscale VPN per creare tunnel cifrati
- COFFProxy per gestire traffico e payload aggiuntivi
- VtChatter per il comando bidirezionale tramite file su VirusTotal
- OneDriveDoor e YaLeak per sfruttare i servizi cloud come canali di comunicazione e di esfiltrazione dati
Mantenimento della persistenza e tecniche di occultamento
Gli attaccanti mantengono la persistenza sulle macchine infette mascherando i loro strumenti come applicazioni legittime, ad esempio Yandex Disk o Google Chrome, e configurando task pianificati. L’uso di queste tecniche ha permesso ad APT31 di rimanere nascosto nelle infrastrutture colpite per anni, raccogliendo file, credenziali e informazioni riservate senza essere scoperto.