Netcrook Logo
👤 WHITEHAWK
🗓️ 01 Dec 2025   🌍 Asia

Inchiostro Invisibile: Come “Operazione Hanoi Thief” Ha Riscritto le Regole dello Spionaggio Cibernetico

Una nuova ondata di attacchi informatici sta sfruttando “curriculum” camuffati per infiltrarsi nel settore IT vietnamita, fondendo astuzia tecnica e ingegneria sociale in un colpo digitale ad alto rischio.

In Breve

  • Gli aggressori hanno utilizzato curriculum e domande di lavoro falsi per violare i reparti IT in Vietnam.
  • Il malware era nascosto in file che sembravano innocue immagini o documenti.
  • Il payload finale, chiamato LOTUSHARVEST, ruba password e cronologia dei browser.
  • Le prove suggeriscono collegamenti con attori minacciosi cinesi, ma il patrocinio statale non è confermato.
  • L’operazione si è basata su file “pseudo-poliglotti” raramente visti e su classici trucchi di Windows.

L’Arte della Truffa Digitale

Immagina di aprire una promettente candidatura lavorativa, solo per ritrovarti bersaglio inconsapevole di un borseggiatore digitale. È questa la realtà inquietante dietro “Operazione Hanoi Thief”, una campagna che ha trasformato il semplice curriculum in un’arma. Invece di un’opportunità di carriera, i recruiter IT e i professionisti HR vietnamiti hanno ricevuto una trappola meticolosamente costruita - una che sfumava il confine tra autenticità e attacco.

Pseudo-Poliglotti: Nascondersi in Bella Vista

Il genio degli attaccanti risiedeva nell’uso di file “pseudo-poliglotti” - documenti che si spacciavano per una cosa mentre ne facevano un’altra. Il file ZIP malevolo, dal nome innocuo “Le-Xuan-Son_CV.zip”, conteneva quello che sembrava un curriculum PDF e un’immagine. In realtà, l’immagine celava uno script e il collegamento PDF attivava comandi che avrebbero silenziosamente rilasciato il malware.

Questo gioco di prestigio si basava su una funzione poco nota di ftp.exe di Windows che, con il giusto stimolo, poteva essere convinta a eseguire comandi invece di limitarsi a trasferire file. Gli attaccanti hanno sfruttato questa particolarità, insieme a rinominazioni astute dei file e curriculum esca, per superare sia la diffidenza umana che i controlli di sicurezza di base.

Dalla Menzogna al Furto di Dati

Una volta dentro, la catena d’infezione si sviluppava in tre atti: il file di collegamento avviava l’attacco, il payload poliglotta camuffato da immagine eseguiva uno script batch nascosto e, infine, veniva installata una DLL malevola chiamata LOTUSHARVEST. Quest’ultimo impianto era un vero ladro digitale: frugava silenziosamente tra cronologie e archivi di password dei browser, prendendo di mira Google Chrome e Microsoft Edge, e inviava il bottino a un server remoto.

LOTUSHARVEST non era solo un semplice ladro. Era dotato di trucchi per eludere l’analisi - rilevando se fosse osservato in un ambiente virtuale, simulando errori per confondere i ricercatori e sfruttando gli stessi strumenti di Windows contro il sistema. L’ingegnosità tecnica qui ricorda attacchi passati, come la campagna “GoldenSpy” del 2023 in Cina e numerosi episodi in cui gli aggressori hanno usato curriculum falsi per colpire team HR in tutto il mondo.

Chi Tiene la Penna?

Sebbene le impronte digitali puntino verso attori minacciosi cinesi - grazie a sovrapposizioni con precedenti campagne focalizzate sul Vietnam e all’uso di tecniche simili di generazione di domini - i ricercatori si fermano prima di confermare un coinvolgimento diretto del governo. Le caratteristiche uniche del malware lo distinguono da strumenti cinesi più noti come PlugX, suggerendo o un nuovo gruppo o una tattica inedita in una guerra cibernetica in corso.

Questa operazione è un chiaro promemoria di come ingegneria sociale e sotterfugi tecnici possano convergere, specialmente in settori dove la fiducia è moneta e la curiosità una vulnerabilità.

Man mano che i cybercriminali affinano le proprie tecniche, le organizzazioni devono guardare oltre le difese tradizionali. L’era dei curriculum armati è arrivata, e il prossimo attacco potrebbe essere a un solo clic di distanza.

WIKICROOK

  • Pseudo: In cybersecurity, “pseudo” si riferisce a generatori di numeri pseudocasuali - algoritmi che creano numeri apparentemente casuali, fondamentali per crittografia e sicurezza.
  • DLL Sideloading: Il DLL sideloading avviene quando gli aggressori ingannano programmi affidabili inducendoli a caricare file helper malevoli (DLL) invece di quelli legittimi, consentendo attacchi nascosti.
  • Spear: Lo spear phishing è un attacco informatico mirato che utilizza email personalizzate per indurre individui o organizzazioni specifiche a rivelare informazioni sensibili.
  • Batch Script: Un batch script è un file di testo con comandi Windows che automatizzano compiti. Può essere usato per efficienza o, in modo malevolo, per installare malware.
  • Anti: “Anti” si riferisce ai metodi usati dal malware per evitare il rilevamento o l’analisi da parte di strumenti e ricercatori di sicurezza, rendendo le minacce più difficili da studiare o fermare.
Cyber Espionage Operation Hanoi Thief Fake Resumes
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news