Negli ultimi mesi la sicurezza informatica in Asia orientale è stata messa a dura prova da una sofisticata campagna di spionaggio che ha sfruttato un server di aggiornamento abbandonato del popolare software Sogou Zhuyin, un input method editor molto diffuso nell’area. Il server, ormai in disuso dal 2019, è stato rilevato e utilizzato da un gruppo di cybercriminali per diffondere una serie di malware ad alto impatto, tra cui C6DOOR e GTELAM, con particolare attenzione agli utenti di Taiwan, che rappresentano il 49 percento delle vittime totali.

Catena di infezione e modalità d’attacco

Gli attaccanti hanno orchestrato una catena di infezione complessa: dopo aver preso il controllo del dominio sogouzhuyin[.]com nell’ottobre 2024, hanno iniziato a distribuire aggiornamenti malevoli tramite la funzione di update automatico ancora attiva nei software installati. Il processo sfrutta l’eseguibile ZhuyinUp.exe, che scarica file di configurazione da un indirizzo controllato dagli attaccanti, permettendo così l’installazione silenziosa di vari malware.

Malware identificati

Tra i malware identificati troviamo TOSHIS, un loader capace di scaricare ulteriori payload come Cobalt Strike o Merlin agent, DESFY e GTELAM, spyware mirati alla raccolta di documenti e informazioni sensibili, e C6DOOR, un backdoor scritto in Go che permette il controllo remoto del sistema, l’esecuzione di comandi, il trasferimento di file e la raccolta di dati. In molti casi, le informazioni raccolte vengono esfiltrate tramite servizi cloud legittimi, come Google Drive, per eludere i controlli e nascondere il traffico malevolo.

Obiettivi e tecniche di attacco

La campagna, denominata TAOTH, ha preso di mira figure di rilievo come dissidenti, giornalisti e leader del mondo tecnologico di Cina, Taiwan, Hong Kong, Giappone, Corea del Sud e comunità taiwanesi all’estero. Oltre agli aggiornamenti manipolati, sono state rilevate attività di phishing tramite siti web falsi e pagine di login che imitano servizi cloud, spesso con l’intento di ottenere l’accesso alle caselle di posta delle vittime tramite tecniche OAuth.

Raccomandazioni e considerazioni

L’analisi di C6DOOR ha rivelato la presenza di caratteri cinesi semplificati, suggerendo una provenienza cinese del gruppo responsabile. Gli esperti raccomandano alle organizzazioni di monitorare e rimuovere software non più supportati e agli utenti di controllare attentamente i permessi richiesti dalle applicazioni cloud. Questa operazione dimostra quanto sia importante mantenere aggiornati i sistemi e vigilare sulle fonti da cui si scaricano software e aggiornamenti, soprattutto in contesti geopolitici sensibili come quello taiwanese.