Un recente attacco informatico condotto dal gruppo APT41, collegato alla Cina, ha puntato i riflettori sulla sicurezza delle infrastrutture IT governative in Africa. Questo gruppo di cyber spionaggio è noto per le sue campagne sofisticate ai danni di diversi settori a livello globale, tra cui telecomunicazioni, energia, istruzione e sanità. Tuttavia, la novità di questa campagna risiede nella scelta del continente africano come obiettivo, un’area che fino ad ora aveva registrato minore attività da parte di questo attore.

Gli attaccanti hanno adottato tecniche avanzate, sfruttando nomi e indirizzi IP di servizi interni hardcoded all’interno dei loro malware. Un elemento chiave dell’operazione è stato l’uso di un server SharePoint compromesso come centro di comando e controllo (C2), sfruttato per impartire istruzioni ai sistemi infetti tramite un trojan sviluppato in C sharp. I file agent.exe e agentx.exe, veicolati tramite protocollo SMB, rappresentano la componente malevola che permette l’esecuzione di comandi da remoto attraverso una web shell installata direttamente sul server SharePoint.

Il vettore iniziale è stato individuato in un host non monitorato, compromesso tramite l’utilizzo di strumenti come Impacket e l’esecuzione di moduli Atexec e WmiExec. Successivamente, gli attaccanti hanno eseguito un’escalation dei privilegi tramite il furto di credenziali e la movimentazione laterale, arrivando a implementare Cobalt Strike per mantenere il controllo e la comunicazione attraverso DLL side-loading.

Un aspetto sofisticato dell’attacco è la verifica dei language pack installati, permettendo al malware di evitare l’esecuzione su sistemi configurati per giapponese, coreano o cinese, riducendo così il rischio di essere individuati dagli analisti di quei paesi. La campagna si caratterizza anche per l’impiego di tecniche living-off-the-land, sfruttando la legittimità di servizi come SharePoint per eludere le difese basate su firme tradizionali.

Ulteriori strumenti utilizzati includono stealer modificati come Pillager, utility per il furto di credenziali dai browser e account SSH/FTP, RawCopy per la copia dei file di registro di sistema e Mimikatz per il dump delle credenziali. La raccolta dei dati rubati e la loro esfiltrazione avvengono tramite lo stesso server SharePoint compromesso, rendendo difficile individuare traffico sospetto.

Questa operazione sottolinea la crescente difficoltà nel distinguere tra strumenti di penetration test legittimi e armamentario usato da attori malevoli, evidenziando la necessità di strategie di sicurezza più avanzate per la difesa delle infrastrutture IT, soprattutto in aree emergenti come l’Africa.