Netcrook Logo
👤 CIPHERWARDEN
🗓️ 04 Nov 2025   🗂️ Threats    

Ombra sulla catena di fornitura: il malware ‘Airstalk’ dell’APT cinese svelato

Hacker sostenuti dallo stato cinese trasformano strumenti di gestione dei dispositivi mobili in armi per infiltrarsi nelle aziende di outsourcing, alimentando nuove paure sulla sicurezza della catena di fornitura digitale.

In breve

  • Il gruppo APT cinese sospettato CL-STA-1009 prende di mira aziende BPO (business process outsourcing) utilizzando un nuovo malware chiamato Airstalk.
  • Airstalk sfrutta le API di gestione dei dispositivi mobili AirWatch per comunicare segretamente con gli aggressori.
  • Scoperte due varianti di Airstalk: una in PowerShell, una in .NET, entrambe utilizzano certificati digitali rubati o revocati.
  • Il malware ruba dati dai browser, cattura schermate e manipola le impostazioni del dispositivo - restando nascosto grazie a timestamp alterati.
  • Gli attacchi evidenziano i crescenti rischi di violazioni della catena di fornitura e le vulnerabilità dei fornitori di servizi terzi.

Il cavallo di Troia digitale: come le catene di fornitura sono diventate il parco giochi degli hacker

Immagina un corriere che, incaricato di consegnare pacchi a molte case, nasconda segretamente una microspia in ognuna. Questo è l’attacco moderno alla catena di fornitura - dove gli hacker prendono di mira gli intermediari, le aziende di outsourcing (BPO), per ottenere accesso simultaneo a centinaia di aziende. La recente scoperta del malware Airstalk da parte di Palo Alto Networks offre un quadro vivido di questa minaccia.

Airstalk non è un malware qualunque. Sviluppato e distribuito da un gruppo noto come CL-STA-1009, sospettato di essere sostenuto dallo stato cinese, sfrutta proprio gli strumenti che le organizzazioni usano per gestire i loro dispositivi mobili. Abusando dell’API AirWatch - un’interfaccia comune per la gestione dei dispositivi mobili (MDM) - Airstalk stabilisce una linea di comunicazione segreta con il suo centro di comando, eludendo le difese di sicurezza tradizionali.

Dentro l’arsenale di Airstalk: due volti, una missione

I ricercatori di sicurezza hanno identificato due varianti di Airstalk: una sviluppata in PowerShell e un’altra in .NET. Entrambe erano firmate digitalmente con certificati probabilmente rubati o revocati, conferendo loro un’apparenza di legittimità. La versione PowerShell ascolta comandi per catturare schermate, elencare file e sottrarre dati da browser come Chrome - pensala come un borseggiatore digitale che fruga silenziosamente nelle tasche private. La variante .NET va oltre, prendendo di mira altri browser e persino aprendo URL per facilitare ulteriori intrusioni.

Per restare invisibile, il malware manipola i timestamp e utilizza certificati revocati, eludendo le scansioni di sicurezza automatizzate. È una partita a scacchi fatta di inganni, in cui gli aggressori investono molto per mantenere una presenza persistente e non rilevata all’interno delle reti delle aziende BPO - le stesse organizzazioni a cui viene affidata la gestione di dati sensibili per innumerevoli aziende.

La storia si ripete: le catene di fornitura come anello debole

Non è la prima volta che le catene di fornitura globali vengono prese di mira. La famigerata violazione SolarWinds del 2020, attribuita ad attori statali russi, ha dimostrato come compromettere un singolo fornitore di software possa avere ripercussioni su migliaia di organizzazioni. Ora, con Airstalk, l’attenzione si sposta sui fornitori di servizi che gestiscono processi aziendali e dispositivi, rendendo ogni azienda collegata a loro una potenziale vittima.

Dal punto di vista geopolitico, questi attacchi sottolineano una realtà inquietante: gli stati-nazione vedono sempre più le catene di fornitura come campi di battaglia strategici. Man mano che BPO e fornitori di servizi gestiti diventano più centrali, la loro postura di sicurezza - o la sua assenza - può avere effetti a cascata su settori e confini.

La campagna Airstalk è un campanello d’allarme per tutte le aziende: la vostra sicurezza è forte solo quanto i partner di cui vi fidate. Mentre gli hacker trasformano le catene di fornitura in autostrade per spionaggio e furto, vigilanza e difese stratificate non sono più opzionali - sono essenziali.

WIKICROOK

  • APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata da parte di gruppi esperti, spesso sostenuti da stati, con l’obiettivo di rubare dati o interrompere operazioni.
  • Attacco alla catena di fornitura: Un attacco alla catena di fornitura è un attacco informatico che compromette fornitori di software o hardware affidabili, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
  • MDM (Mobile Device Management): La gestione dei dispositivi mobili (MDM) consente alle organizzazioni di controllare, proteggere e cancellare da remoto i dispositivi mobili per tutelare i dati e gestire in modo efficiente i dispositivi dei dipendenti.
  • API (Application Programming Interface): Un’API è un insieme di regole che consente a diversi sistemi software di comunicare, fungendo da ponte tra applicazioni. Le API sono obiettivi comuni per la cybersicurezza.
  • Certificato digitale: Un certificato digitale è un documento elettronico che verifica l’identità di siti web o programmi, contribuendo a garantire comunicazioni online sicure e affidabili.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news