Shadow Command: Dentro un segreto attacco informatico cinese alle reti militari del Sud-est asiatico

Tutto è iniziato con un’anomalia: un guizzo di sospetta attività PowerShell nel cuore di una rete militare del Sud-est asiatico. Ciò che è seguito è stata una rivelazione sconcertante: una sofisticata campagna di cyber-spionaggio, attiva da tempo, che sottraeva silenziosamente informazioni dai sistemi di difesa più sensibili della regione. Le tracce digitali puntavano verso la Cina, ma la vera storia riguarda gli strumenti, le tattiche e la disciplina che hanno permesso a questi hacker di restare inosservati per anni.

Smascherare una campagna furtiva

Per quasi quattro anni, le organizzazioni militari in tutto il Sud-est asiatico sono state bersagli silenziosi di un’operazione avanzata di cyber-spionaggio, oggi tracciata come CL-STA-1087. A differenza degli attacchi “mordi e fuggi”, queste intrusioni sono fatte di pazienza e precisione: gli hacker evitano il furto massivo di dati e preferiscono raccogliere intelligence ad alto valore - si pensi alle gerarchie di comando, ai sistemi C4I (Command, Control, Communications, Computers, and Intelligence) e alle complessità delle operazioni militari congiunte.

La spina dorsale tecnica dell’operazione è un mix di malware sviluppato su misura e di rigorosa sicurezza operativa. Gli attaccanti ottengono l’accesso iniziale con metodi discreti - spesso sfruttando sistemi gestiti in modo debole - poi distribuiscono script ritardati che creano canali di comunicazione nascosti verso server di command-and-control (C2). Questi canali, talvolta dormienti per mesi, vengono riattivati in sincronia con specifici obiettivi di raccolta informativa.

Una volta dentro, gli attori della minaccia si spostano lateralmente, usando Windows Management Instrumentation (WMI) e strumenti .NET per diffondersi silenziosamente tra domain controller e workstation dei dirigenti. La persistenza viene ottenuta dirottando processi di sistema legittimi e piazzando librerie malevole dove pochi andrebbero a cercare.

Gli strumenti dello spionaggio

I veri protagonisti di questa campagna sono due backdoor personalizzate: AppleChris e MemFun. AppleChris, distribuita in più varianti, recupera le istruzioni C2 da servizi apparentemente innocui come Pastebin e Dropbox, decodificandole e decifrandole al volo per evitare di lasciare indizi. MemFun, invece, opera interamente in memoria, usando process hollowing e reflective DLL injection per restare invisibile. La sua comunicazione è cifrata per sessione, rendendo l’individuazione ancora più difficile.

Per elevare i privilegi, gli attaccanti impiegano una versione modificata dello strumento di dumping delle credenziali Mimikatz, ribattezzata Getpass. A differenza del suo antenato open source, Getpass viene eseguito automaticamente e archivia le credenziali rubate in un file camuffato da legittimo database di Windows, rendendo complessa la scoperta forense.

L’attribuzione è sempre complicata nel mondo del cyber-spionaggio, ma le evidenze convergono: orari di lavoro compatibili con l’ora di Pechino, infrastrutture cinesi e artefatti di codice in cinese semplificato. Secondo gli analisti, si tratta del lavoro di un team sostenuto dallo Stato e altamente disciplinato - uno che mette furtività e persistenza al di sopra di tutto.

Conclusione: il nuovo volto del cyber-spionaggio

La campagna CL-STA-1087 è un esempio da manuale di cyber-spionaggio moderno: paziente, mirato e implacabilmente occulto. Mentre le forze armate del Sud-est asiatico rafforzano le proprie difese informatiche, l’operazione rappresenta un monito netto - i confini digitali sono la nuova linea del fronte, e gli avversari sono tanto capaci quanto inflessibili.

WIKICROOK

• Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
• C2 (Command and Control): Il C2 (Command and Control) è un’infrastruttura usata dagli attaccanti per gestire, controllare e comunicare da remoto con il malware su dispositivi compromessi.
• In: Un sistema di pagamento in-app consente agli utenti di acquistare beni o servizi digitali direttamente all’interno di un’app, offrendo comodità e maggiore controllo dei ricavi per gli sviluppatori.
• Process hollowing: Il process hollowing è una tecnica con cui il malware si nasconde nella memoria di un programma legittimo, permettendogli di eludere il rilevamento ed eseguire azioni malevole.
• DLL hijacking: Il DLL hijacking è un attacco informatico in cui un’applicazione carica un file DLL falso, consentendo agli attaccanti di eseguire codice malevolo su un sistema.