Il panorama della cybersicurezza in Asia sud-orientale è stato recentemente scosso da una sofisticata campagna di spionaggio informatico che ha preso di mira enti governativi regionali. Al centro di questa minaccia c’è HazyBeacon, un malware backdoor per Windows mai documentato prima, che si distingue per l’abuso di servizi cloud legittimi come AWS Lambda per eludere i controlli di sicurezza tradizionali e raccogliere dati sensibili.

Contesto geopolitico e obiettivi della campagna

La campagna, identificata dagli esperti come CL-STA-1020, si inserisce in un contesto geopolitico particolarmente delicato. I governi del sud-est asiatico giocano un ruolo cruciale in negoziati commerciali e strategie militari che vedono coinvolte potenze mondiali come Stati Uniti e Cina. Per questo, ottenere informazioni su politiche commerciali, pianificazione infrastrutturale e regolamenti interni rappresenta un obiettivo di alto valore per gli attori sponsorizzati da stati.

Tecniche di infezione e persistenza

L’infezione iniziale di HazyBeacon avviene tramite una tecnica di DLL side-loading: un file dannoso mscorsvc.dll viene piazzato accanto a un eseguibile legittimo di Windows (mscorsvw.exe). Quando quest’ultimo viene avviato, la DLL malevola stabilisce un collegamento con un indirizzo controllato dagli attaccanti, consentendo l’esecuzione di comandi da remoto e il download di ulteriori payload. La persistenza sul sistema viene garantita tramite un servizio che riavvia la DLL anche dopo un reboot.

Abuso di servizi cloud per il command-and-control

Un aspetto particolarmente insidioso di HazyBeacon è l’uso di AWS Lambda URLs per il command-and-control. Questa strategia sfrutta funzionalità cloud lecite, rendendo il traffico malevolo difficile da distinguere da quello legittimo. I difensori sono quindi chiamati a monitorare attentamente il traffico verso endpoint cloud poco utilizzati come *.lambda-url.*.amazonaws.com, soprattutto se generato da processi inusuali.

Furto ed esfiltrazione dei dati sensibili

Tra i moduli scaricati dal malware c’è un file collector progettato per rubare documenti con estensioni come doc, xls e pdf, spesso legati a recenti misure tariffarie o dispute commerciali. Gli attaccanti utilizzano anche servizi cloud diffusi come Google Drive e Dropbox per esfiltrare i dati, mimetizzando il traffico esfiltrato tra quello ordinario. Dopo la raccolta, il malware elimina ogni traccia delle sue attività, cancellando file e archivi temporanei.

Nuove sfide per la difesa cloud-native

Il caso HazyBeacon rappresenta un esempio emblematico di come le minacce avanzate sfruttino servizi cloud fidati per la persistenza e l’esfiltrazione dei dati, confermando la necessità di strategie di difesa cloud-native sempre più raffinate.