Aggiornamenti recenti Maggio 20th, 2025 3:31 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
- Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
- CERT-AGID 10-16 maggio: l’Agenzia delle Entrate ancora nel mirino
- Trovati dispositivi non autorizzati negli inverter solari cinesi
- Europa sotto attacco: aumentano le attività DDoS e dei gruppi hacktivisti
ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
Ieri ESET ha pubblicato l’ultimo APT report relativo al periodo ottobre 2024 – marzo 2025, evidenziando un aumento significativo di operazioni di gruppi russi, cinesi e nordcoreani.
L’Europa risulta una delle aree maggiormente colpite da questi attacchi, soprattutto da gruppi APT che collaborano col governo cinese. L’Ucraina è stato il Paese che ha registrato il maggior numero di campagne subite, per lo più a opera della Russia contro infrastrutture critiche e istituzioni governative.
Colored hacker code realistic composition with person creates codes for hacking and stealing information vector illustration
I gruppi della Corea del Nord hanno intensificato le operazioni contro la Corea del Sud, prendendo di mira non solo ambasciate e personale diplomatico, ma anche aziende private e singoli individui.
Le attività principali sono da collegare a Deceptive Development, un gruppo che agisce per scopi finanziari. I cyberattaccanti prendono di mira sviluppatori Windows, Linux e macOS per rubare criptovalute. La gang agisce pubblicando finti annunci di lavoro per dozzine di compagnie, da piccole startup a grandi nomi dei settori finanziario, delle criptovalute e della blockchain, oltre che società di investimento.
Il gruppo ha cominciato a utilizzare ClickFix, una tecnica di social engineering diventata particolarmente popolare negli ultimi tempi. La gang ha sfruttato la tecnica per distribuire WeaselStore, un malware multipiattaforma.
I gruppi nordcoreani Kimsuky e Konni hanno ripreso un elevato livello di attività dopo il calo di fine 2024; contemporaneamente Andariel, rimasto inattivo per un anno, è tornato alla carica attaccando un’azienda sudcoreana specializzata in software industriale.
Per quanto riguarda la Cina, il gruppo più attivo è stato Mustang Panda, il quale ha colpito enti governativi e aziende del settore dei trasporti marittimi europeo usando loader Korplug e chiavette USB infette.
Durante il periodo preso in esame, ESET ha analizzato anche le attività di UnsolicitedBooker, un gruppo cinese che ha sviluppato numerose backdoor (tra le quali Chinoxy, DeedRAT, Poison Ivy e BeRAT) e le ha rese disponibili anche ad altre gang cybercriminali. “Il gruppo ha anche sviluppato dei file stealer custom; per questo motivo, riteniamo che gli obiettivi di questi attaccanti siano lo spionaggio e il furto di dati” si legge nel report.
Le attività dei gruppi APT russi
Nel periodo analizzato dal report sono emersi numerosi gruppi russi che hanno preso di mira l’Europa e in particolare l’Ucraina. Il gruppo Sandworm, affiliato al governo russo, ha intensificato le operazioni distruttive contro le aziende energetiche ucraine distribuendo ZEROLOT, un nuovo wiper. Il wiper, una volta eseguito, elimina tutti i file nelle sotto-cartelle di C:\Users\, fatta eccezione per i file con estensioni .dll, .exe e .sys, e tutti i driver logici eccetto C:.
Notevole anche l’attività di Sednit, il gruppo dietro la campagna Operation Roundpress. Negli ultimi mesi la cybergang russa ha ampliato le proprie attività di spearphishing per colpire, oltre a Roundcube, servizi webmail come Horde, MDaemon e Zimbra. Le email inviate contengono degli exploit XSS che puntano a eseguire codice Javascript malevolo nel client webmail per ottenere messaggi scambiati e l’elenco dei contatti della vittima.
Un altro gruppo russo molto attivo è RomCom (Storm-0978), il quale conduce sia campagne di cybercrime che di cyberspionaggio. RomCom, attivo almeno dal 2022, è legato al ransomware Cuba e ha colpito non solo il governo ucraino, ma anche diversi alleati della NATO e numerose organizzazioni governative europee.
Il gruppo più attivo contro l’Ucraina si è però confermato essere Gamaredon, il quale ha migliorato le proprie tecniche di offuscamento del malware e ha introdotto PteroBox, un file stealer che sfrutta Dropbox. “Il famigerato gruppo Sandworm si è concentrato in modo massiccio sul compromettere le infrastrutture energetiche ucraine. In alcuni casi recenti ha distribuito il wiper ZEROLOT, sfruttando le Group Policy di Active Directory all’interno delle organizzazioni colpite” ha affermato Jean-Ian Boutin, Director of Threat Research di ESET.
Altre attività degne di note sono quelle di APT-C-60, un gruppo sud-coreano che ha preso di mira gli utenti giapponesi di VirusTotal. Si suppone che il gruppo stia colpendo obiettivi legati alla Corea del Nord.
ESET ha inoltre evidenziato una campagna di phishing altamente targetizzata dove gli attaccanti impersonavano il World Economic Forum e gestivano siti web falsi relativi alle elezioni con l’obiettivo di raccogliere informazioni sensibili sui diplomatici ucraini. Non si conosce ancora l’identità degli attaccanti. Significative anche le attività di StealthFalcon contro Turchia e Pakistan.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo... -
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa Pwn2Own,... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi... -
Impennata degli attacchi automatizzati: i cybercriminali... Sono sempre di più gli attacchi automatizzati che... -
Settore sanitario, gli operatori caricano dati sensibili in... Stando all’ultimo report sulle minacce al settore...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
ESET APT report: crescono gli attacchi russi, cinesi e... Ieri ESET ha pubblicato l’ultimo APT report relativo...
-
Pwn2Own, a Berlino per la prima volta la categoria IA. I... Dopo tre giorni di intenso hacking si è conclusa...
-
CERT-AGID 10-16 maggio: l’Agenzia delle Entrate... Nel corso della settimana, il CERT-AGID ha identificato e... -
Trovati dispositivi non autorizzati negli inverter solari... Una nuova minaccia si abbatte sugli Stati Uniti: secondo... -
Europa sotto attacco: aumentano le attività DDoS e dei... Il numero di attacchi DDoS e delle attività dei gruppi...
Ransomware: la serie
No posts found.
