Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
APT31 colpisce la Russia: Spionaggio hi-tech tra cloud e festività, allarme nel settore IT
Il gruppo APT31, collegato alla Cina, è stato recentemente attribuito a una serie di attacchi informatici sofisticati contro il settore IT russo tra il 2024 e il 2025. Questi attacchi sono stati particolarmente insidiosi perché hanno sfruttato servizi cloud legittimi, come Yandex Cloud e Microsoft OneDrive, per il comando e controllo (C2) e l’esfiltrazione dei dati, riuscendo così a mimetizzarsi tra il traffico ordinario e a eludere i sistemi di rilevamento.
APT31: profilo e obiettivi
APT31, noto anche con altri nomi come Altaire e Judgement Panda, è attivo almeno dal 2010 e si concentra principalmente su attività di cyber spionaggio. Il gruppo ha preso di mira numerosi settori strategici, inclusi enti governativi, aziende finanziarie e difesa, nonché infrastrutture critiche come telecomunicazioni e media. L’obiettivo principale di queste campagne è l’acquisizione di informazioni sensibili che possano avvantaggiare la Cina sul piano politico, economico e militare.
Modalità d’attacco e tecniche avanzate
Le modalità d’attacco utilizzate contro le aziende IT russe sono state particolarmente elaborate. Gli aggressori hanno impiegato strumenti pubblici e personalizzati per garantirsi persistenza nelle reti compromesse, come task pianificati che imitano applicazioni legittime (ad esempio Yandex Disk e Google Chrome). Tra le tecniche più avanzate c’è l’uso di comandi e payload cifrati nascosti in profili social, sia russi che esteri, e la scelta di agire durante festività o fine settimana per ridurre la possibilità di individuazione.
In alcuni casi, APT31 è riuscita a ottenere l’accesso alle reti bersaglio già dalla fine del 2022, intensificando poi le attività in corrispondenza delle vacanze di Capodanno 2023. Uno degli strumenti chiave è stato CloudyLoader, un loader distribuito tramite archivi RAR contenenti shortcut Windows, capace di caricare Cobalt Strike tramite DLL side-loading. Sono state inoltre rilevate tecniche di spear-phishing con archivi ZIP camuffati da report ministeriali.
Strumenti e arsenale di APT31
L’arsenale di APT31 è molto vario: include utility per la raccolta di informazioni (SharpADUserIP), tool per estrarre password dai browser, backdoor come AufTime e COFFProxy, e strumenti per il tunneling come Tailscale VPN e i tunnel di sviluppo Microsoft. Un elemento distintivo è l’uso di VtChatter, che sfrutta file di testo su VirusTotal per comunicazioni C2, e di OneDriveDoor, una backdoor che utilizza OneDrive per il comando remoto.
Queste tecniche hanno permesso agli attaccanti di restare nascosti per lunghi periodi all’interno delle infrastrutture delle vittime, scaricando dati riservati, credenziali e altre informazioni sensibili senza essere rilevati.