Il gruppo di cyber spionaggio denominato UNG0002 sta conducendo una vasta campagna contro organizzazioni di diversi settori in Cina, Hong Kong e Pakistan. Questo cluster di attività, identificato come particolarmente sofisticato, si distingue per l’utilizzo strategico di file di collegamento LNK, script VBScript e strumenti post-exploitation come Cobalt Strike e Metasploit, con l’obiettivo di compromettere le vittime tramite documenti esca a tema curriculum vitae.

Operation Cobalt Whisper e Operation AmberMist

Le campagne di UNG0002 si articolano principalmente in due operazioni: Operation Cobalt Whisper, attiva tra maggio e settembre 2024, e Operation AmberMist, che si è svolta tra gennaio e maggio 2025. I settori presi di mira includono difesa, ingegneria elettrotecnica, energia, aviazione civile, sanità, accademia, sviluppo software, sicurezza informatica e gaming, segno che l’obiettivo degli attaccanti è trafugare proprietà intellettuale e dati sensibili.

Operation Cobalt Whisper

Durante Operation Cobalt Whisper, sono stati distribuiti archivi ZIP tramite spear-phishing, contenenti beacon di Cobalt Strike e payload intermedi in formato LNK e Visual Basic Script. Questa tecnica riflette una chiara preferenza per strumenti flessibili e difficili da individuare nei processi di post-sfruttamento, rendendo la rilevazione e il contrasto particolarmente complessi per le organizzazioni colpite.

Operation AmberMist

L’operazione AmberMist si basa invece su email di phishing che veicolano file LNK camuffati da curriculum, innescando una catena di infezione a più fasi che termina con il rilascio di INET RAT e del loader Blister DLL. In alcuni casi, le vittime vengono reindirizzate verso pagine di atterraggio contraffatte che simulano il sito del Ministero degli Affari Marittimi pakistano, dove vengono presentati falsi CAPTCHA che, una volta superati, attivano comandi PowerShell per l’esecuzione del malware Shadow RAT.

Tecniche e strumenti utilizzati

Shadow RAT viene caricato tramite tecnica di side-loading di DLL, stabilendo una comunicazione con server remoti in attesa di ulteriori comandi. INET RAT si presenta come una variante modificata di Shadow RAT, mentre l’impianto Blister DLL agisce come loader di shellcode che apre la strada a ulteriori impianti di tipo reverse shell.

Attribuzione e raccomandazioni

Gli indizi raccolti fanno ipotizzare che UNG0002 sia un gruppo sudasiatico con un focus sull’espionaggio e una notevole capacità di adattamento, come dimostra la continua evoluzione dei suoi strumenti e delle sue tattiche. Il gruppo è attivo almeno da maggio 2024 e rappresenta una minaccia persistente per istituzioni e aziende strategiche in Asia, confermando l’importanza di rafforzare le difese contro campagne di phishing, file LNK e RAT.