Cyber Security UP

MarsSnake: La nuova arma cinese contro governi e istituzioni mondiali

Negli ultimi anni, la cybersicurezza globale ha visto un aumento delle attività di gruppi hacker collegati alla Cina, con operazioni mirate a istituzioni governative e organizzazioni di rilievo internazionale. Un recente caso ha visto protagonista il gruppo UnsolicitedBooker, responsabile di una sofisticata campagna di spionaggio informatico contro un’importante organizzazione in Arabia Saudita. Questa attività malevola è stata condotta attraverso l’impiego di un nuovo malware chiamato MarsSnake, un backdoor mai documentato prima.

Gli attacchi hanno avuto inizio con l’invio di email di spear phishing, spesso camuffate da comunicazioni ufficiali relative a prenotazioni di voli, complete di allegati Word apparentemente innocui. Una volta aperto il file, una macro VBA si attivava per installare sul sistema della vittima un eseguibile ("smssdrvhost.exe"), che fungeva da loader per il vero malware MarsSnake. Questo malware stabiliva poi una connessione con un server remoto per ricevere comandi e consentire l’accesso agli aggressori.

Le campagne del gruppo UnsolicitedBooker

Le campagne del gruppo UnsolicitedBooker sono state rilevate a più riprese nel 2023, 2024 e 2025, segno di un forte interesse persistente verso lo stesso bersaglio saudita. Oltre a MarsSnake, il gruppo ha impiegato altri tipi di backdoor noti nell’ecosistema hacker cinese, come Chinoxy, DeedRAT, Poison Ivy e BeRAT, a dimostrazione di un arsenale sofisticato e variegato.

Altri gruppi e tecniche utilizzate

La strategia non si limita al solo gruppo UnsolicitedBooker. Un’altra realtà, DigitalRecyclers, ha continuato a colpire enti governativi dell’Unione Europea, facendo uso di tecnologie come le reti ORB per occultare il traffico e distribuendo una serie di backdoor tra cui RClient, HydroRShell e GiftBox. DigitalRecyclers, attivo almeno dal 2018, è associato alla galassia APT15 e presenta legami con altri gruppi noti come Ke3chang e BackdoorDiplomacy.

Caratteristiche tecniche delle backdoor

Le backdoor MarsSnake e HydroRShell si distinguono per la loro completezza: una volta installate, permettono agli attaccanti di eseguire comandi arbitrari, leggere e scrivere file e scaricare ulteriori payload dai server di comando e controllo. Un dettaglio tecnico interessante riguarda HydroRShell, che utilizza Protobuf per la serializzazione dei dati nella comunicazione C2, una scelta poco comune che rende le analisi ancora più complesse.

Queste campagne confermano come la minaccia degli attori statali resti alta e in continua evoluzione, con tecniche di attacco sempre più sofisticate, mirate e persistenti contro obiettivi di alto valore.