Hacker legati alla Cina prendono di mira governi asiatici, stati NATO, giornalisti e attivisti Recenti ricerche nel campo della cybersicurezza hanno rivelato un’operazione di spionaggio coordinata da gruppi hacker collegati alla Cina, che sta prendendo di mira governi e settori…
Hacker legati alla Cina prendono di mira governi asiatici, stati NATO, giornalisti e attivisti
Recenti ricerche nel campo della cybersicurezza hanno rivelato un’operazione di spionaggio coordinata da gruppi hacker collegati alla Cina, che sta prendendo di mira governi e settori difensivi in tutta l’Asia orientale, meridionale e sud-est asiatica, oltre a un paese europeo membro della NATO.
Attività di spionaggio mirata: chi sono gli hacker?
Il team di Trend Micro ha identificato questa attività come parte del gruppo denominato temporaneamente SHADOW-EARTH-053. Questo collettivo malevolo è attivo almeno dal dicembre 2024 e ha mostrato un certo grado di sovrapposizione con altri gruppi di hacker noti come CL-STA-0049, Earth Alux e REF7707. Utilizzando vulnerabilità note in Microsoft Exchange e nei server Internet Information Services (IIS), gli hacker riescono ad accedere a reti non protette, installando web shell come “Godzilla” per garantire accessi persistenti. Queste tecniche consentono loro di inserire malware, come il noto ShadowPad, sviluppato tramite un sistema di caricamento di DLL.
I bersagli di queste campagne includono nazioni come Pakistan, Thailandia, Malesia, India, Myanmar, Sri Lanka e Taiwan, mentre l’unico paese europeo coinvolto è la Polonia. In particolare, Trend Micro ha scoperto che quasi metà dei bersagli di SHADOW-EARTH-053, tra cui Malesia, Sri Lanka e Myanmar, era già compromessa da un altro gruppo, identificato come SHADOW-EARTH-054.
Tecniche di attacco e vulnerabilità sfruttate
Gli attacchi iniziano sfruttando vulnerabilità note per infiltrarsi in sistemi non aggiornati, installando facilmente strumenti di accesso remoto. Da qui, gli hacker possono eseguire comandi e raccogliere informazioni. Strategicamente, la campagna ha anche utilizzato il noto React2Shell per diffondere una versione Linux del malware Noodle RAT, evidenziando l’evidente organizzazione e pianificazione dietro questi attacchi, i quali sembrano legati a gruppi noti come UNC6595.
Nonostante le evidenti vulnerabilità, sono state utilizzate anche tecniche più sofisticate come tunneling tramite strumenti open-source e metodi di escalation dei privilegi come l’utilizzo di Mimikatz. Dal punto di vista della protezione, Trend Micro raccomanda alle organizzazioni di aggiornare immediatamente i loro sistemi e di considerare l’implementazione di sistemi di prevenzione delle intrusioni (IPS) o firewall per applicazioni web (WAF) per proteggersi contro exploit noti.
Attacchi mirati a giornalisti e attivisti: le campagne GLITTER CARP e SEQUIN CARP
In parallelo con queste operazioni, il Citizen Lab ha segnalato due nuove campagne di phishing condotte da hacker cinesi, mirate a giornalisti e attivisti nel campo dei diritti umani. Questi attacchi, noti come GLITTER CARP e SEQUIN CARP, hanno preso aimirare a gruppi come l’International Consortium of Investigative Journalists (ICIJ) e a giornalisti specifici che trattano temi di grande interesse per il governo cinese.
Le tecniche utilizzate da questi attori comprendono impersonificazioni digitali ben congegnate e attacchi di phishing che sfruttano avvisi di sicurezza di aziende tecnologiche per ingannare le vittime. Attraverso tecniche di raccolta di credenziali e ingegneria sociale, i gruppi cercano di ottenere accesso a account di posta elettronica, attingendo a un vasto bacino di potenziali obiettivi, compresi giornalisti italiani che trattano argomenti sensibili.
Conclusione
Le minacce cibernetiche provenienti da gruppi legati alla Cina rappresentano una preoccupazione crescente non solo per i governi asiatici, ma anche per aziende e professionisti a livello globale, inclusi quelli italiani. Nel contesto attuale, è cruciale che le organizzazioni adottino misure di sicurezza appropriate per mitigare il rischio di attacchi informatici, aggiornando i loro sistemi e implementando strategie di difesa attive. Essere consapevoli delle crescenti tecniche di attacco è fondamentale per proteggere non solo i sistemi informatici, ma anche per preservare le libertà civili e il lavoro di chi, come i giornalisti, si battano per la verità e la giustizia.
