Il gruppo di hacker noto come Confucius ha recentemente lanciato una nuova campagna di phishing mirata prevalentemente contro il Pakistan, utilizzando malware sofisticati come WooperStealer e Anondoor. Questo gruppo, attivo dal 2013 e operativo soprattutto nel Sud Asia, si è distinto per l’utilizzo di tecniche di spear-phishing e documenti dannosi per colpire agenzie governative, organizzazioni militari, contractor della difesa e settori industriali critici pakistani.
Una delle catene di attacco individuate
Una delle catene di attacco individuate ha visto la distribuzione di un file .PPSX che, tramite la tecnica del DLL side-loading, installa WooperStealer sui sistemi delle vittime. Successivamente, un’ondata di attacchi nel marzo 2025 ha sfruttato file di collegamento Windows (.LNK) per attivare ancora una volta la DLL malevola di WooperStealer, con l’obiettivo di sottrarre informazioni sensibili dai dispositivi compromessi. In agosto 2025, un nuovo file .LNK ha eseguito una DLL dannosa che, a differenza dei casi precedenti, ha favorito il caricamento di Anondoor: un impianto Python progettato per trasmettere dati sui dispositivi verso server esterni, eseguire comandi, acquisire screenshot, elencare file e cartelle, ed estrarre password da Google Chrome.
Questa evoluzione, dal semplice furto di informazioni all’installazione di una backdoor persistente, evidenzia la crescita delle competenze tecniche del gruppo Confucius e la sua capacità di adattamento. Gli attaccanti impiegano infatti tecniche di offuscamento avanzate per eludere i sistemi di rilevamento e modificano rapidamente il proprio arsenale in base agli obiettivi di raccolta informazioni.
Patchwork e altre campagne parallele
Parallelamente, un’altra campagna descritta dagli esperti di sicurezza ha riguardato il gruppo Patchwork, anch’esso attivo nel cyberspionaggio nell’area asiatica. In questo caso, l’infezione parte da una macro malevola che scarica un file .LNK contenente codice PowerShell per recuperare ulteriori payload, utilizzando ancora il DLL side-loading. Il malware risultante stabilisce una connessione con server di comando e controllo, raccoglie dati di sistema, riceve istruzioni codificate da eseguire tramite cmd.exe e può realizzare screenshot, caricare file dal computer della vittima o scaricare file remoti in modo furtivo.
Questi continui attacchi confermano quanto sia cruciale per le organizzazioni adottare misure di difesa proattive per contrastare phishing, malware e tecniche di DLL side-loading, che rappresentano oggi alcune delle principali minacce nel panorama della sicurezza informatica.