Aggiornamenti recenti Agosto 18th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora sotto attacco
- Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e sospetti di backdoor
- Ondata di attacchi brute-force contro le VPN Fortinet, poi FortiManager
- Un invito Google Calendar bastava per prendere il controllo di Gemini
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani
Ieri ESET ha pubblicato l’ultimo APT report relativo al periodo ottobre 2024 – marzo 2025, evidenziando un aumento significativo di operazioni di gruppi russi, cinesi e nordcoreani.
L’Europa risulta una delle aree maggiormente colpite da questi attacchi, soprattutto da gruppi APT che collaborano col governo cinese. L’Ucraina è stato il Paese che ha registrato il maggior numero di campagne subite, per lo più a opera della Russia contro infrastrutture critiche e istituzioni governative.
Colored hacker code realistic composition with person creates codes for hacking and stealing information vector illustration
I gruppi della Corea del Nord hanno intensificato le operazioni contro la Corea del Sud, prendendo di mira non solo ambasciate e personale diplomatico, ma anche aziende private e singoli individui.
Le attività principali sono da collegare a Deceptive Development, un gruppo che agisce per scopi finanziari. I cyberattaccanti prendono di mira sviluppatori Windows, Linux e macOS per rubare criptovalute. La gang agisce pubblicando finti annunci di lavoro per dozzine di compagnie, da piccole startup a grandi nomi dei settori finanziario, delle criptovalute e della blockchain, oltre che società di investimento.
Il gruppo ha cominciato a utilizzare ClickFix, una tecnica di social engineering diventata particolarmente popolare negli ultimi tempi. La gang ha sfruttato la tecnica per distribuire WeaselStore, un malware multipiattaforma.
I gruppi nordcoreani Kimsuky e Konni hanno ripreso un elevato livello di attività dopo il calo di fine 2024; contemporaneamente Andariel, rimasto inattivo per un anno, è tornato alla carica attaccando un’azienda sudcoreana specializzata in software industriale.
Per quanto riguarda la Cina, il gruppo più attivo è stato Mustang Panda, il quale ha colpito enti governativi e aziende del settore dei trasporti marittimi europeo usando loader Korplug e chiavette USB infette.
Durante il periodo preso in esame, ESET ha analizzato anche le attività di UnsolicitedBooker, un gruppo cinese che ha sviluppato numerose backdoor (tra le quali Chinoxy, DeedRAT, Poison Ivy e BeRAT) e le ha rese disponibili anche ad altre gang cybercriminali. “Il gruppo ha anche sviluppato dei file stealer custom; per questo motivo, riteniamo che gli obiettivi di questi attaccanti siano lo spionaggio e il furto di dati” si legge nel report.
Le attività dei gruppi APT russi
Nel periodo analizzato dal report sono emersi numerosi gruppi russi che hanno preso di mira l’Europa e in particolare l’Ucraina. Il gruppo Sandworm, affiliato al governo russo, ha intensificato le operazioni distruttive contro le aziende energetiche ucraine distribuendo ZEROLOT, un nuovo wiper. Il wiper, una volta eseguito, elimina tutti i file nelle sotto-cartelle di C:\Users\, fatta eccezione per i file con estensioni .dll, .exe e .sys, e tutti i driver logici eccetto C:.
Notevole anche l’attività di Sednit, il gruppo dietro la campagna Operation Roundpress. Negli ultimi mesi la cybergang russa ha ampliato le proprie attività di spearphishing per colpire, oltre a Roundcube, servizi webmail come Horde, MDaemon e Zimbra. Le email inviate contengono degli exploit XSS che puntano a eseguire codice Javascript malevolo nel client webmail per ottenere messaggi scambiati e l’elenco dei contatti della vittima.
Un altro gruppo russo molto attivo è RomCom (Storm-0978), il quale conduce sia campagne di cybercrime che di cyberspionaggio. RomCom, attivo almeno dal 2022, è legato al ransomware Cuba e ha colpito non solo il governo ucraino, ma anche diversi alleati della NATO e numerose organizzazioni governative europee.
Il gruppo più attivo contro l’Ucraina si è però confermato essere Gamaredon, il quale ha migliorato le proprie tecniche di offuscamento del malware e ha introdotto PteroBox, un file stealer che sfrutta Dropbox. “Il famigerato gruppo Sandworm si è concentrato in modo massiccio sul compromettere le infrastrutture energetiche ucraine. In alcuni casi recenti ha distribuito il wiper ZEROLOT, sfruttando le Group Policy di Active Directory all’interno delle organizzazioni colpite” ha affermato Jean-Ian Boutin, Director of Threat Research di ESET.
Altre attività degne di note sono quelle di APT-C-60, un gruppo sud-coreano che ha preso di mira gli utenti giapponesi di VirusTotal. Si suppone che il gruppo stia colpendo obiettivi legati alla Corea del Nord.
ESET ha inoltre evidenziato una campagna di phishing altamente targetizzata dove gli attaccanti impersonavano il World Economic Forum e gestivano siti web falsi relativi alle elezioni con l’obiettivo di raccogliere informazioni sensibili sui diplomatici ucraini. Non si conosce ancora l’identità degli attaccanti. Significative anche le attività di StealthFalcon contro Turchia e Pakistan.
Condividi l'articolo
I ruoli di default di AWS consentono compromissioni e movimento laterale
Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cisco svela un nuovo tipo di jailbreak AI: i guardrail non... I chatbot basati su modelli linguistici di grandi... -
SafePay, cresce la minaccia ransomware contro gli MSP Tra le minacce più recenti che stanno facendo tremare il... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
CERT-AGID 9 – 14 agosto: gli alberghi italiani ancora... Nel corso di questa settimana il CERT-AGID ha rilevato -
Cina contro Nvidia: dubbi sulla sicurezza dei chip AI e... Le tensioni tra Stati Uniti e Cina si spostano sul... -
Ondata di attacchi brute-force contro le VPN Fortinet, poi... Una nuova campagna di attacchi informatici sta prendendo di... -
Un invito Google Calendar bastava per prendere il controllo... Una vulnerabilità in Google Calendar consentiva a un... -
CERT-AGID 2 – 8 agosto: rubati documenti d’identità a... La scorsa settimana il CERT-AGID ha rilevato e analizzato...
Ransomware: la serie
No posts found.