Negli ultimi mesi si sono intensificati gli attacchi informatici che mirano ai settori delle telecomunicazioni e della produzione nei paesi dell’Asia centrale e meridionale, con campagne che distribuiscono varianti sofisticate di malware come PlugX e Bookworm. Queste minacce sono principalmente ricondotte a gruppi APT (Advanced Persistent Threat) con legami alla Cina, che sfruttano tecniche avanzate come il DLL side-loading per eludere i sistemi di sicurezza e ottenere il controllo remoto delle macchine infette.

PlugX e la convergenza tra gruppi APT

PlugX è un trojan ad accesso remoto modulare, diffuso in particolare dal gruppo Mustang Panda, noto anche con numerosi altri alias come BASIN e Stately Taurus. Le nuove varianti di PlugX condividono caratteristiche con altri backdoor cinesi come RainyDay e Turian, incluso l’uso di applicazioni legittime per caricare in memoria codice malevolo, algoritmi di cifratura combinati (XOR, RC4 e RtlDecompressBuffer) e chiavi di crittografia riutilizzate. Queste campagne non solo colpiscono infrastrutture critiche in Kazakistan, Uzbekistan e altri paesi asiatici, ma mostrano anche una convergenza tra i gruppi Naikon (Lotus Panda) e BackdoorDiplomacy, suggerendo una probabile condivisione di strumenti o fornitori tra cyber criminali di lingua cinese.

Metodologie di attacco e strumenti utilizzati

Gli attacchi sfruttano spesso eseguibili legittimi come veicolo per il caricamento di una DLL malevola, che a sua volta decripta e avvia in memoria i payload di PlugX, RainyDay o Turian. L’attore della minaccia ha recentemente intensificato l’uso di PlugX, arricchito da componenti come il keylogger integrato. Seppur non sia ancora confermata una fusione tra Naikon e BackdoorDiplomacy, la sovrapposizione tra obiettivi, metodi crittografici e strumenti rafforza il sospetto di una regia comune dietro queste operazioni.

Bookworm e la persistenza nelle infrastrutture asiatiche

Parallelamente, il malware Bookworm, anch’esso associato a Mustang Panda, viene utilizzato dal 2015 per ottenere accesso prolungato ai sistemi delle vittime. Bookworm permette l’esecuzione di comandi arbitrari, il trasferimento di file, l’esfiltrazione di dati e il mantenimento della persistenza. Recenti campagne hanno preso di mira paesi ASEAN utilizzando Bookworm, che si nasconde dietro domini legittimi o infrastrutture compromesse per comunicare con i server di comando e controllo e si avvale di architetture modulari che complicano l’analisi e il rilevamento.

Difese e raccomandazioni per le organizzazioni

I ricercatori di sicurezza sottolineano l’evoluzione costante di queste minacce e la necessità per le organizzazioni asiatiche di rafforzare le proprie difese, con particolare attenzione alle tecniche di sideloading e alla segmentazione delle reti per ridurre il rischio di compromissione.