ESET APT report: crescono gli attacchi russi, cinesi e nordcoreani

Mag 20, 2025 Marina Londei Approfondimenti, Attacchi, Attacchi, Campagne malware, Minacce, Minacce, News, RSS 0

Ieri ESET ha pubblicato l’ultimo APT report relativo al periodo ottobre 2024 – marzo 2025, evidenziando un aumento significativo di operazioni di gruppi russi, cinesi e nordcoreani.

L’Europa risulta una delle aree maggiormente colpite da questi attacchi, soprattutto da gruppi APT che collaborano col governo cinese. L’Ucraina è stato il Paese che ha registrato il maggior numero di campagne subite, per lo più a opera della Russia contro infrastrutture critiche e istituzioni governative.

Colored hacker code realistic composition with person creates codes for hacking and stealing information vector illustration

I gruppi della Corea del Nord hanno intensificato le operazioni contro la Corea del Sud, prendendo di mira non solo ambasciate e personale diplomatico, ma anche aziende private e singoli individui.

Le attività principali sono da collegare a Deceptive Development, un gruppo che agisce per scopi finanziari. I cyberattaccanti prendono di mira sviluppatori Windows, Linux e macOS per rubare criptovalute. La gang agisce pubblicando finti annunci di lavoro per dozzine di compagnie, da piccole startup a grandi nomi dei settori finanziario, delle criptovalute e della blockchain, oltre che società di investimento.

Il gruppo ha cominciato a utilizzare ClickFix, una tecnica di social engineering diventata particolarmente popolare negli ultimi tempi. La gang ha sfruttato la tecnica per distribuire WeaselStore, un malware multipiattaforma.

I gruppi nordcoreani Kimsuky e Konni hanno ripreso un elevato livello di attività dopo il calo di fine 2024; contemporaneamente Andariel, rimasto inattivo per un anno, è tornato alla carica attaccando un’azienda sudcoreana specializzata in software industriale.

Per quanto riguarda la Cina, il gruppo più attivo è stato Mustang Panda, il quale ha colpito enti governativi e aziende del settore dei trasporti marittimi europeo usando loader Korplug e chiavette USB infette.

Durante il periodo preso in esame, ESET ha analizzato anche le attività di UnsolicitedBooker, un gruppo cinese che ha sviluppato numerose backdoor (tra le quali Chinoxy, DeedRAT, Poison Ivy e BeRAT) e le ha rese disponibili anche ad altre gang cybercriminali. “Il gruppo ha anche sviluppato dei file stealer custom; per questo motivo, riteniamo che gli obiettivi di questi attaccanti siano lo spionaggio e il furto di dati” si legge nel report.

Le attività dei gruppi APT russi

Nel periodo analizzato dal report sono emersi numerosi gruppi russi che hanno preso di mira l’Europa e in particolare l’Ucraina. Il gruppo Sandworm, affiliato al governo russo, ha intensificato le operazioni distruttive contro le aziende energetiche ucraine distribuendo ZEROLOT, un nuovo wiper. Il wiper, una volta eseguito, elimina tutti i file nelle sotto-cartelle di C:\Users\, fatta eccezione per i file con estensioni .dll, .exe e .sys, e tutti i driver logici eccetto C:.

Notevole anche l’attività di Sednit, il gruppo dietro la campagna Operation Roundpress. Negli ultimi mesi la cybergang russa ha ampliato le proprie attività di spearphishing per colpire, oltre a Roundcube, servizi webmail come Horde, MDaemon e Zimbra. Le email inviate contengono degli exploit XSS che puntano a eseguire codice Javascript malevolo nel client webmail per ottenere messaggi scambiati e l’elenco dei contatti della vittima.

Un altro gruppo russo molto attivo è RomCom (Storm-0978), il quale conduce sia campagne di cybercrime che di cyberspionaggio. RomCom, attivo almeno dal 2022, è legato al ransomware Cuba e ha colpito non solo il governo ucraino, ma anche diversi alleati della NATO e numerose organizzazioni governative europee.

Il gruppo più attivo contro l’Ucraina si è però confermato essere Gamaredon, il quale ha migliorato le proprie tecniche di offuscamento del malware e ha introdotto PteroBox, un file stealer che sfrutta Dropbox. “Il famigerato gruppo Sandworm si è concentrato in modo massiccio sul compromettere le infrastrutture energetiche ucraine. In alcuni casi recenti ha distribuito il wiper ZEROLOT, sfruttando le Group Policy di Active Directory all’interno delle organizzazioni colpite” ha affermato Jean-Ian Boutin, Director of Threat Research di ESET.

Altre attività degne di note sono quelle di APT-C-60, un gruppo sud-coreano che ha preso di mira gli utenti giapponesi di VirusTotal. Si suppone che il gruppo stia colpendo obiettivi legati alla Corea del Nord.

ESET ha inoltre evidenziato una campagna di phishing altamente targetizzata dove gli attaccanti impersonavano il World Economic Forum e gestivano siti web falsi relativi alle elezioni con l’obiettivo di raccogliere informazioni sensibili sui diplomatici ucraini. Non si conosce ancora l’identità degli attaccanti. Significative anche le attività di StealthFalcon contro Turchia e Pakistan.

Condividi l'articolo

APT, clickfix, conflitto russo-ucraino, Corea del Nord, russia, wiper

I ruoli di default di AWS consentono compromissioni e movimento laterale Pwn2Own, a Berlino per la prima volta la categoria IA. I risultati delle giornate