Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025   🗂️ Cloud    

Mustang Panda scatena USB Snake: lo spionaggio informatico colpisce la Thailandia tra tensioni di confine

Hacker legati alla Cina distribuiscono malware avanzato per infiltrarsi nelle reti thailandesi, sfruttando l’instabilità regionale con un nuovo worm USB e backdoor furtive.

In breve

  • Mustang Panda (alias Hive0154), un gruppo cinese di spionaggio informatico, sta prendendo di mira la Thailandia con nuovi strumenti malware.
  • La campagna utilizza una backdoor aggiornata (Toneshell9) e un nuovo worm USB chiamato SnakeDisk.
  • SnakeDisk si attiva solo su reti thailandesi, infettando sistemi air-gapped (offline) tramite chiavette USB.
  • Il malware è camuffato tramite documenti falsi e servizi cloud, sfruttando il conflitto regionale tra Thailandia e Cambogia.
  • Gli analisti collegano l’operazione agli interessi strategici della Cina nel Sud-Est asiatico.

Quando il malware attraversa i confini: emerge una nuova frontiera digitale

Immagina un serpente digitale che striscia silenzioso oltre i confini, passando inosservato tra porte chiuse e allarmi muti. Nel 2025, mentre le tensioni tra Thailandia e Cambogia crescevano, i ricercatori di sicurezza informatica di IBM X-Force hanno scoperto una nuova forma di spionaggio digitale: l’ultima campagna di Mustang Panda, che mette in campo un attacco a doppio binario fondendo la furtività high-tech con l’infiltrazione USB di vecchia scuola.

Mustang Panda, formalmente noto come Hive0154, è da tempo un attore nell’ombra nell’arena dello spionaggio informatico. Dalla sua comparsa nei primi anni 2010, il gruppo si è specializzato nel prendere di mira governi, think tank e ONG del Sud-Est asiatico, adattando spesso i suoi attacchi ai cambiamenti geopolitici. Il marchio di fabbrica del gruppo: malware su misura, ingegneria sociale sofisticata e una predilezione per lo sfruttamento dei momenti di vulnerabilità politica.

Dentro la tana del serpente: nuovi strumenti per vecchie tattiche

L’ultima campagna segna un salto tecnico per Mustang Panda. Al centro c’è Toneshell9, uno strumento avanzato di backdoor progettato per confondersi con il traffico di rete legittimo - come una spia con un travestimento perfetto. Toneshell9 utilizza crittografia, connessioni di rete false e persino “junk code” generato da reti neurali per nascondere il suo vero scopo. Può leggere le impostazioni proxy dai computer Windows infetti, permettendogli di navigare tra difese di rete complesse come se avesse la mappa dell’edificio.

Ma la vera innovazione è SnakeDisk, un worm USB che si attiva solo quando rileva indirizzi di rete thailandesi. Questo worm si copia su dispositivi rimovibili, nasconde i file legittimi e installa segretamente un’altra backdoor nota come Yokai. Prendendo di mira le reti air-gapped - computer tenuti deliberatamente offline per motivi di sicurezza - SnakeDisk consente agli attaccanti di violare anche i sistemi più isolati, un metodo già visto in attacchi storici come Stuxnet.

Spionaggio mascherato da ufficialità

Gli attaccanti non si sono affidati solo alle capacità tecniche. Hanno utilizzato documenti di phishing camuffati da comunicazioni ufficiali del Ministero degli Affari Esteri del Myanmar, diffondendo file infetti tramite piattaforme cloud affidabili come Box e Google Drive. Download tracciati a Singapore e Thailandia confermano un’operazione mirata, non un attacco indiscriminato.

Secondo IBM e altre fonti di intelligence sulle minacce, la campagna di Mustang Panda si allinea agli interessi regionali più ampi della Cina. Con la Cambogia come alleato stretto e le dispute di confine in aumento, operazioni informatiche come questa offrono un modo discreto per raccogliere informazioni e fare pressione senza sparare un colpo.

Difendersi dall’invasore invisibile

La sofisticazione e la selettività di questa campagna sono un campanello d’allarme per le organizzazioni di tutto il Sud-Est asiatico. IBM X-Force raccomanda massima vigilanza: monitorare tutti i supporti rimovibili, analizzare attentamente il traffico di rete crittografato e trattare con sospetto i documenti dall’aspetto ufficiale provenienti da servizi cloud. Mentre Mustang Panda continua a perfezionare il suo arsenale digitale, la posta in gioco per la sicurezza regionale - e la sovranità digitale - non è mai stata così alta.

Nel crescendo della partita a scacchi dello spionaggio informatico, la linea tra campo di battaglia fisico e digitale si fa sempre più sottile. Per la Thailandia e i suoi vicini, anticipare la prossima mossa di SnakeDisk potrebbe dipendere meno dalla sola tecnologia e più dalla capacità di prevedere la prossima mossa in una guerra ombra combattuta alla velocità del codice.

WIKICROOK

  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere il controllo segreto.
  • USB Worm: Un worm USB è un malware che si diffonde copiandosi su chiavette USB, infettando qualsiasi computer a cui la chiavetta viene collegata, spesso senza che l’utente se ne accorga.
  • Air: Un ambiente air-gapped è un computer o una rete fisicamente isolata, disconnessa da reti non sicure per proteggere dati sensibili da minacce informatiche.
  • Phishing Document: Un documento di phishing è un file falso camuffato da messaggio legittimo, progettato per indurre gli utenti ad aprirlo e potenzialmente infettare il loro computer.
  • Proxy Server: Un proxy server è un intermediario che instrada il traffico di rete, aiutando a nascondere l’identità degli utenti, aggirare restrizioni e gestire l’accesso a Internet.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news