Netcrook Logo
👤 VULNCRUSADER
🗓️ 01 Oct 2025   🌍 North America

EggStreme Spionaggio: Hacker legati alla Cina violano azienda militare filippina con malware furtivo

Una nuova tipologia di malware, collegata agli interessi statali cinesi, ha infiltrato un’azienda militare filippina in una sofisticata campagna di cyber-spionaggio durata un anno.

In breve

  • Un appaltatore militare filippino è stato preso di mira da un nuovo malware chiamato EggStreme.
  • L’attacco è stato attribuito a un gruppo di hacker sostenuto dalla Cina, ed è durato oltre un anno.
  • EggStremeAgent, il cuore del malware, consente spionaggio, furto di dati e registrazione dei tasti premuti.
  • Gli aggressori hanno utilizzato tecniche fileless, rendendo la rilevazione estremamente difficile.
  • L’incidente riflette le continue tensioni informatiche legate alle dispute nel Mar Cinese Meridionale.

Un invasore silenzioso in un mare in tempesta

Immagina una spia che si muove nell’ombra di un porto affollato - invisibile, inascoltata, raccogliendo segreti a ogni passo. È questo lo scenario digitale dipinto dall’indagine di Bitdefender su un attacco a un’azienda militare filippina. Il colpevole: EggStreme, un sofisticato framework malware, orchestrato silenziosamente da hacker ritenuti al servizio degli interessi cinesi.

L’attacco, iniziato nell’aprile 2024 e durato fino a giugno 2025, non è stato un semplice colpo rapido. Al contrario, si è trattato di un’infiltrazione paziente e metodica, che ha sfruttato proprio gli strumenti di cui si fidano i difensori - servizi di Windows e malware residenti solo in memoria - per nascondersi in piena vista. L’arma principale degli aggressori, EggStremeAgent, agiva come un centro di comando digitale: mappava la rete, registrava i tasti premuti, rubava file e tracciava ogni movimento, tutto senza lasciare tracce evidenti sui computer della vittima.

Dietro la violazione: tecnologia e tensioni

I ricercatori di Bitdefender, guidati da Martin Zugec, hanno faticato a collegare l’attacco a un gruppo specifico di hacker cinesi - conosciuti nel settore come “minacce persistenti avanzate” o APT - ma le prove puntavano chiaramente verso la Cina. Il bersaglio, le tattiche e la tempistica rispecchiavano il modello di spionaggio digitale di Pechino, soprattutto nel contesto delle dispute in corso sul Mar Cinese Meridionale.

Non è la prima volta che hacker sostenuti dallo stato cinese prendono di mira entità del Sud-Est asiatico per raccogliere informazioni. Nel 2021, la società di cybersecurity FireEye (ora Trellix) ha segnalato campagne simili con malware personalizzati contro agenzie governative vietnamite e malesi. Come EggStreme, quegli attacchi combinavano furtività, persistenza e sofisticazione tecnica - caratteristiche che rendono difficile l’attribuzione e ancora più ardua la difesa.

Ciò che distingue EggStreme è il suo approccio “fileless”. Normalmente il malware si nasconde nei file; EggStreme, invece, esegue il proprio codice dannoso direttamente in memoria, lasciando pochissime tracce. È come un ladro che non lascia impronte, solo un vago odore nell’aria. Sfruttando processi di sistema legittimi, gli aggressori hanno ulteriormente confuso il confine tra amico e nemico, rendendo quasi impossibile per gli strumenti di sicurezza tradizionali individuare la minaccia.

La tempistica dell’attacco non è casuale. Mentre Cina e Filippine si scontrano sulle rivendicazioni territoriali e Pechino annuncia nuove “riserve naturali” in acque contese, lo spionaggio digitale diventa un altro fronte di un conflitto geopolitico latente. I segreti militari non vengono più rubati solo da casseforti chiuse a chiave - vengono sottratti silenziosamente, byte dopo byte, attraverso reti internazionali.

Riflessioni: la guerra invisibile

La campagna EggStreme ricorda in modo netto che lo spionaggio moderno riguarda tanto il codice quanto il travestimento e il pugnale. Per ogni scontro visibile nel Mar Cinese Meridionale, c’è una battaglia nascosta che infuria nel cyberspazio - dove spesso il nemico più silenzioso causa i danni maggiori. Mentre gli aggressori affinano furtività e sofisticazione, i difensori devono imparare a leggere anche le più flebili tracce digitali, o rischiano di perdere segreti travolti dalla marea digitale.

WIKICROOK

  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
  • Attacco fileless: Un attacco fileless è un attacco informatico in cui il malware viene eseguito in memoria invece di essere salvato come file, rendendo difficile la rilevazione da parte delle difese tradizionali.
  • Keylogger: Un keylogger è uno strumento che registra segretamente tutto ciò che un utente digita, spesso utilizzato dai cybercriminali per rubare password e informazioni sensibili.
  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o server, aggirando i normali controlli di sicurezza, spesso usata dagli aggressori per ottenere il controllo segreto.
  • Command and Control (C2): Il Command and Control (C2) è il sistema che gli hacker utilizzano per controllare da remoto i dispositivi infetti e coordinare attacchi informatici dannosi.
VULNCRUSADER VULNCRUSADER
Advanced Vulnerability Hunter
← Back to news