Aggiornamenti recenti Maggio 20th, 2025 3:31 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
- Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
- CERT-AGID 10-16 maggio: l’Agenzia delle Entrate ancora nel mirino
- Trovati dispositivi non autorizzati negli inverter solari cinesi
- Europa sotto attacco: aumentano le attività DDoS e dei gruppi hacktivisti
PlushDaemon: un nuovo gruppo APT cinese colpisce la Corea del Sud. Il report di ESET
I ricercatori di ESET hanno scoperto PlushDaemon, un nuovo gruppo APT affiliato al governo cinese che ha colpito la supply chain di un provider VPN della Corea del Sud.
“Nel maggio 2024, abbiamo notato delle rilevazioni di codice dannoso in un installer NSIS per Windows che gli utenti della Corea del Sud avevano scaricato dal sito web del legittimo software VPN IPany. Analizzando ulteriormente, abbiamo scoperto che l’installer distribuiva sia il software legittimo che la backdoor” ha affermato Facundo Muñoz, il ricercatore che ha scoperto la campagna.
Credits: ESET
Il gruppo ha sostituito l’installer legittimo della VPN con uno che distribuiva SlowStepper, una backdoor con oltre 30 componenti e funzionalità in grado di raccogliere grandi volumi di dati, anche dal browser, scattare foto, scansionare documenti, spiare gli utenti tramite audio e video e sottrarre le credenziali.
La backdoor non è nuova: secondo l’analisi di Muñoz, esistono diverse versioni di Slowstepper, di cui la prima risale al 31 gennaio 2019. La più nuova è stata compilata il 13 giugno 2024 (versione 0.2.12) ed è ad oggi la versione più completa in termini di funzionalità. Nell’attacco al provider di VPN, PlushDaemon ha utilizzato una versione antecedente, la 0.2.10 Lite; il nome suggerisce che questa backdoor abbia meno funzionalità di quelle in altre versioni.
“Le numerose componenti del toolset di PlushDaemon e la sua ricca storia di versionamento dimostrano che, anche se in precedenza sconosciuto, questo gruppo APT affiliato al governo cinese ha operato assiduamente per sviluppare un’ampia gamma di tool, rendendoli una minaccia significativa dalla quale proteggersi” avvisa ESET.
Dopo la scoperta, la compagnia ha informato il fornitore VPN riguardo la compromissione e l’installer dannoso è stato rimosso dal loro sito.
Condividi l'articolo
- APT, backdoor, Cina, PlushDaemon, SlowStepper, VPN
L'IA generativa unifica le interfacce di gestione e migliora la cybersecurity
I ransomware contro le appliance ESXi sfruttano il tunneling SSH per la persistenza
Articoli correlati
Altro in questa categoria
Approfondimenti
-
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo... -
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa Pwn2Own,... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi... -
Impennata degli attacchi automatizzati: i cybercriminali... Sono sempre di più gli attacchi automatizzati che... -
Settore sanitario, gli operatori caricano dati sensibili in... Stando all’ultimo report sulle minacce al settore...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo...
-
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa...
-
CERT-AGID 10-16 maggio: l’Agenzia delle Entrate... Nel corso della settimana, il CERT-AGID ha identificato e... -
Trovati dispositivi non autorizzati negli inverter solari... Una nuova minaccia si abbatte sugli Stati Uniti: secondo... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi...
Ransomware: la serie
No posts found.
