Redazione RHC : 21 Settembre 2025 19:17
Il gruppo Patchwork , noto anche con gli alias APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger e Zinc Emerson, ha lanciato una nuova campagna di spear phishing rivolta al settore della difesa turco. L’obiettivo principale degli aggressori, secondo gli analisti, era ottenere informazioni sensibili sugli sviluppi nel campo delle piattaforme senza pilota e delle armi ipersoniche.
Secondo Arctic Wolf Labs , la catena di attacchi si compone di cinque fasi e inizia con la distribuzione di file LNK (collegamenti rapidi di Windows) camuffati da inviti a una conferenza internazionale sui veicoli senza pilota. Queste e-mail erano indirizzate a dipendenti di aziende che operano nel complesso militare-industriale turco, tra cui un produttore di missili ad alta precisione.
Il contesto geopolitico rende l’attacco particolarmente significativo: il suo lancio ha coinciso con l’approfondimento della cooperazione tecnico-militare tra Turchia e Pakistan, nonché con l’escalation del conflitto tra Pakistan e India. Secondo diversi analisti, Patchwork agisce nell’interesse dello Stato indiano e dal 2009 attacca sistematicamente obiettivi politici e militari nei paesi dell’Asia meridionale.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
All’inizio del 2025, lo stesso gruppo ha lanciato una campagna contro le università cinesi usando documenti relativi al settore energetico come esca. Ha utilizzato un downloader basato su Rust che ha decrittografato ed eseguito un trojan C# noto come Protego, progettato per raccogliere dati dai computer infetti.
L’ultimo attacco alle organizzazioni di difesa turche utilizza ancora una volta file LNK che incorporano comandi PowerShell Gli script avviano una connessione a un server remoto expouav[.]org – il dominio è stato registrato il 25 giugno 2025 e viene utilizzato come punto di distribuzione del payload. Oltre al codice dannoso, il sito contiene un documento PDF che imita una conferenza internazionale, facendo formalmente riferimento a un evento reale tenutosi sulla piattaforma WASET. Ciò consente all’utente di essere distratto da un “wrapper” visivamente credibile mentre gli script vengono eseguiti in background.
Ulteriori azioni portano al caricamento di una libreria DLL, avviata tramite il metodo di caricamento laterale delle DLL, ovvero la sostituzione di un componente legittimo in un processo attendibile. La sua esecuzione viene inizializzata da un’attività pianificata nell’Utilità di pianificazione di Windows, che avvia lo shellcode incorporato. Questo modulo esegue la ricognizione dell’ambiente: raccoglie informazioni di sistema, acquisisce screenshot dello schermo e invia dati al server C2.
Una caratteristica distintiva delle nuove operazioni è l’utilizzo di file PE a 32 bit al posto delle DLL a 64 bit precedentemente utilizzate. Ciò indica l’evoluzione della base tecnica e un tentativo di aumentare il livello di occultamento: i file binari x86 compatti sono più facili da iniettare in processi attendibili e il cambiamento di architettura complica il rilevamento automatico delle minacce.
I ricercatori hanno inoltre trovato prove di sovrapposizione tra l’infrastruttura di Patchwork ed elementi precedentemente associati al gruppo DoNot Team (APT-Q-38, Bellyworm), il che potrebbe indicare una cooperazione tattica o logistica tra i due cluster APT indiani.
La campagna contro l’industria della difesa turca segna un’espansione dell’area di interesse di Patchwork, precedentemente concentrata sull’Asia meridionale. Dato il ruolo chiave della Turchia nel mercato dei droni (il Paese rappresenta circa il 65% delle esportazioni globali) e la sua ambizione di sviluppare armi ipersoniche, le attività del gruppo indiano di cyberspionaggio appaiono strategicamente motivate.
RedazioneQuesta mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
Il progetto Tor ha annunciato l’introduzione di un nuovo schema di crittografia, chiamato Counter Galois Onion (CGO), destinato a sostituire il precedente metodo Tor1 Relay. L’aggiornamento mira a...
L’attuale accelerazione normativa in materia di cybersicurezza non è un fenomeno isolato, ma il culmine di un percorso di maturazione del Diritto penale che ha dovuto confrontarsi con la dematerial...
