Advanced Persistent Threat, da Cina e Russia attacchi verso l’Europa L’ultimo report di Eset sulle attività Apt evidenzia tra ottobre e marzo attacchi di diversi gruppi affiliati alla Cina rivolti alle organizzazioni europee. Pubblicato il 12 maggio 2023 da Redazione

Le Apt, Advanced Persistent Threat, sono un tipo di minaccia informatica che spesso deborda dai confini del cybercrimine, che può avere alla base motivazioni non solo economiche (il cyberspionaggio, la cyberguerrilla) e che spesso è State-sponsored, come dicono gli anglofoni, ovvero è un’attività finanziata e supportata da agenzie governative. L’ultimo “Apt Activity Report” di Eset, fotografia del periodo che va da ottobre 2022 a marzo 2023, evidenzia che negli ultimi mesi diversi gruppi affiliati alla Cina, come Ke3chang e Mustang Panda, si sono concentrati sulle organizzazioni europee.



Ke3chang, in particolare, è un tipo di attacco molto sofisticato, finalizzato allo spionaggio e diretto su obiettivi di alto profilo (aziende appartenenti a settori critici, ambasciate, entità statali), un attacco già in circolazione e noto alle società di cybersicurezza da molti anni, almeno dal 2010. Nell’ultimo semestre Eset ha osservato la distribuzione di nuove varianti.



Mustang Panda, invece, è un gruppo Apt cinese anch’esso attivo da anni con campagne di cyberspionaggio rivolte verso missioni diplomatiche ed enti di ricerca, ma anche verso fornitori di servizi Internet. In passato si è focalizzato soprattutto su obiettivi del Sud-Est asiatico e secondariamente sull’Europa. Sul nostro continente, sottolinea Eset, ha incrementato le attività nell’ultimo semestre, e per farlo ha utilizzato due nuove backdoor. Sempre nel Vecchio Continente, gli hacker del collettivo filorusso Winter Vivern hanno sfruttato le vulnerabilità del sistema di posta elettronica Zimbra.

Si è focalizzato sull’Europa anche Lazarus, gruppo vicino al governo della Corea del Nord. Fra i suoi target recenti, un’azienda appaltatrice del ministero della Difesa polacco, bersagliata con email di phishing in cui si proponeva una falsa opportunità di lavoro legata a Boeing. Lazarus ha anche anche spostato l'attenzione dai suoi soliti target verticali a un'azienda di gestione dati in India, utilizzando un'esca a tema Accenture. L’impiego di una componente di malware Linux in una delle campagne di Lazarus avvalora l’ipotesi che il gruppo sia responsabile dell'attacco alla supply chain 3CX.

Il report, basato sui rilevamenti e sulla telemetria di Eset, racconta anche che in Israele un gruppo hacker allineato all'Iran OilRig ha messo in campo una nuova backdoor personalizzata, gruppi vicini alla Corea del Nord hanno continuato a concentrarsi su soggetti sudcoreani o legati al Paese. I gruppi Apt filorussi sono stati particolarmente attivi in Ucraina e nei Paesi dell’Unione Europea, e in particolare il noto gruppo hacker Sandworm si è scatenato nella distribuzione di wiper, cioè di programmi capaci di cancellare i dati.