Negli ultimi anni i gruppi hacker legati alla Cina hanno intensificato la loro attività di spionaggio informatico sfruttando vulnerabilità note ma spesso non ancora completamente risolte in molte organizzazioni a livello globale. Un caso recente ha visto un gruppo attribuito alla Cina prendere di mira una organizzazione non profit statunitense attiva nell’influenzare le politiche internazionali degli Stati Uniti.
Fasi dell'intrusione e tecniche utilizzate
Dopo una fase di ricognizione, sono stati impartiti comandi per analizzare la configurazione di rete e stabilire una presenza persistente sui sistemi compromessi. Gli hacker hanno creato task pianificati che sfruttavano binari legittimi di Microsoft per eseguire payload malevoli e mantenere l’accesso con privilegi elevati, spesso caricando codice in processi di sistema come csc.exe per comunicare con server di comando e controllo. Sono state inoltre osservate tecniche di sideloading di DLL tramite componenti antivirus legittimi, una strategia già associata a famigerati malware come Deed RAT e Snappybee, utilizzati da gruppi come Salt Typhoon, Earth Estries e Earth Longzhi, tutti collegati al cluster APT41.
Bersagli globali e tecniche avanzate
Le attività non si limitano agli Stati Uniti: gruppi cinesi hanno bersagliato settori strategici in Asia centrale, Europa, America Latina e Stati Uniti, sfruttando campagne di phishing, vulnerabilità di Microsoft Exchange (ProxyLogon) e tecniche avanzate come la compromissione dei dispositivi di rete per avvelenare il traffico DNS e dirottare aggiornamenti software legittimi. Tra le minacce più recenti spicca PlushDaemon, che compromette router per dirottare le richieste DNS, distribuendo backdoor dedicate per il controllo remoto.
Attacchi a server IIS e strumenti di persistenza
Un’altra tendenza riguarda l’attacco ai server Microsoft IIS mal configurati, sfruttando machine keys pubbliche per installare backdoor come TOLLBOOTH, dotate di funzionalità di web shell e SEO cloaking. L’accesso iniziale viene spesso sfruttato per installare strumenti come Godzilla web shell e rootkit HIDDENDRIVER che occultano la presenza dei malware. Queste campagne hanno colpito centinaia di server in tutto il mondo, con una concentrazione significativa in India e negli Stati Uniti, dimostrando l’efficacia e la persistenza delle strategie di attacco cinesi.
Condivisione di strumenti e rischi globali
La condivisione di strumenti malevoli tra diversi gruppi APT cinesi rende difficile attribuire con precisione gli attacchi, ma la tendenza è chiara: le vulnerabilità legacy sono ancora ampiamente sfruttate, e la persistenza nei sistemi compromessi rappresenta un serio rischio per enti pubblici e privati a livello globale.