Allarme spionaggio: gruppo APT cinese Ink Dragon impianta C2 nei governi europei

Era solo questione di tempo. Ormai i governi del mondo hanno messo in allarme i loro sistemi di sicurezza. E infatti è di questi giorni la scoperta di un’operazione di spionaggio su larga scala condotta da un gruppo di hacker cinesi, noti come Ink Dragon.

L’obiettivo? Trasformare i server governativi hackerati in una rete distribuita di comando e di inoltro del traffico. Insomma, usare le vittime come parte della loro infrastruttura di comando e controllo. Un modus operandi che ha lasciato senza fiato gli esperti di sicurezza.

Ink Dragon è attivo da inizio 2023 e si è concentrato su organizzazioni governative, di telecomunicazioni e pubbliche nel Sud-est asiatico e in Sud America. Ma, fatto ancor più inquietante, ha aumentato la sua attività contro le strutture governative in Europa. Un livello di sofisticazione ingegneristica elevato e un utilizzo di componenti di sistema legittimi hanno reso questi attacchi difficili da individuare. Scovare questa operazione è stato come trovare un ago in un pagliaio. Ma, come si dice, “il lupo perde il pelo ma non il vizio”. E Ink Dragon non ha smesso di stupire.

Check Point Research ha scoperto questa operazione di spionaggio su larga scala che ha utilizzato di fatto le vittime stesse come parte della sua infrastruttura di comando e controllo.

Ink Dragon, noto anche come Earth Alux, Jewelbug , REF7707 e CL-STA-0049, è attivo almeno dall’inizio del 2023. Inizialmente, il gruppo si è concentrato su organizzazioni governative, di telecomunicazioni e pubbliche nel Sud-est asiatico e in Sud America, ma negli ultimi mesi ha notevolmente aumentato la sua attività contro le strutture governative in Europa.

Le campagne del gruppo sono caratterizzate da un elevato livello di sofisticazione ingegneristica, una meticolosa disciplina operativa e l’ampio utilizzo di componenti di sistema legittimi, consentendo agli attacchi di rimanere inosservati per lunghi periodi.

Una caratteristica chiave di Ink Dragon è il suo approccio che prevede l’integrazione dei server compromessi in una rete di relay distribuita globale, anziché il loro semplice utilizzo a scopo di spionaggio. Per raggiungere questo obiettivo, gli aggressori implementano un modulo IIS specializzato, ShadowPad Listener, che si integra nel server web e intercetta silenziosamente il traffico HTTP(S). Ogni server infetto diventa un nodo in grado di ricevere comandi, inoltrarli ad altre vittime e gestire le connessioni tramite proxy, espandendo così l’infrastruttura di comando e controllo senza la necessità di server C2 dedicati.

La penetrazione iniziale avviene in genere tramite errori di configurazione di IIS e SharePoint ben noti ma ancora diffusi. Ink Dragon sfrutta attivamente le vulnerabilità di deserializzazione di ASP.NET ViewState utilizzando valori machineKey prevedibili o trapelati, consentendo l’esecuzione di codice arbitrario. Diversi attacchi hanno anche sfruttato una serie di vulnerabilità di ToolShell nelle installazioni locali di Microsoft SharePoint , consentendo l’esecuzione di codice remoto non autenticato e l’installazione di web shell. Nell’estate del 2025, il gruppo ha condotto scansioni di massa di server SharePoint vulnerabili, indicando un accesso precoce agli exploit.

Nell’infrastruttura dell’organizzazione, dalle configurazioni IIS e dai processi di lavoro. Ciò consente a Ink Dragon di passare rapidamente dall’esecuzione di codice all’interno di un processo web all’ottenimento del pieno controllo del server e quindi all’autenticazione sugli host vicini. Fanno ampio uso di tunnel RDP e delle funzionalità ShadowPad integrate per il movimento, camuffando la loro attività da sessioni amministrative legittime

La persistenza nel sistema viene ottenuta creando attività di pianificazione e installando servizi con privilegi SYSTEM. I file eseguibili sono mascherati da componenti di sistema Windows, come conhost.exe, e spesso dispongono di firme digitali valide di fornitori affidabili, riducendo la probabilità di essere rilevati. Per aumentare i privilegi, Ink Dragon combina lo sfruttamento di vulnerabilità locali, incluse tecniche della famiglia Potato, con un’aggressiva raccolta di credenziali. Gli attacchi utilizzano strumenti proprietari per il dump di LSASS, l’estrazione di hash NTLM e artefatti Kerberos e la ricerca attiva di sessioni RDP amministrative “sospese” da cui estrarre token di amministratore di dominio.

Le vittime di Ink Dragon prendono di mira principalmente organizzazioni governative. Negli ultimi mesi è stato registrato un aumento degli attacchi contro entità europee, con server hackerati in Europa utilizzati per operazioni contro obiettivi in Africa e nel Sud-est asiatico. In diversi casi, è stata rilevata attività di un altro gruppo cinese , RudePanda, sugli stessi sistemi. Hanno utilizzato i propri moduli IIS, web shell e persino scaricato un rootkit del kernel, ma i ricercatori non hanno trovato alcun coordinamento diretto tra i gruppi.

Secondo Check Point Research, Ink Dragon rappresenta un modello maturo di cyberspionaggio in cui il confine tra “vittima” e “infrastruttura di controllo” praticamente scompare. Ogni nuovo server compromesso rafforza la rete complessiva, aumentandone la sopravvivenza e la furtività. In queste condizioni, proteggere i singoli nodi diventa insufficiente: contrastare tali operazioni richiede l’identificazione e l’interruzione dell’intera relay chain, altrimenti i sistemi compromessi continueranno a essere al servizio degli aggressori per lungo tempo.

Cosa abbiamo imparato da questo articolo? Innanzitutto, che esiste un gruppo di hacker chiamato Ink Dragon che si concentra principalmente sull’attacco a organizzazioni governative. E’ stato notato un aumento degli attacchi verso entità europee, con server hackerati in Europa che vengono usati per operazioni contro obiettivi in Africa e Sud-est asiatico. Dall’articolo si evince che non c’è una collaborazione diretta tra Ink Dragon e un altro gruppo di hacker, RudePanda, ma è stata rilevata un’attività simile su alcuni sistemi.

Per non cadere dentro questi problemi occorre prestare attenzione ad alcuni aspetti. Innanzitutto, proteggere i singoli nodi non è più sufficiente. Infatti, bisogna identificare e interrompere l’intera catena di relay. In questo modo, si può evitare che i sistemi compromessi continuino a essere utilizzati dagli aggressori per molto tempo. Inoltre, è importante tenere sotto controllo le attività dei gruppi di hacker e monitorare le loro mosse per prevenire futuri attacchi. In generale, la sicurezza informatica è un tema molto importante e va curato con attenzione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Agostino Pellegrino

E’ un libero professionista, insegnante e perito di informatica Forense, Cyber Security ed Ethical Hacking e Network Management. Ha collaborato con importanti istituti di formazione a livello internazionale e ha esercitato teaching e tutorship in tecniche avanzate di Offensive Security per la NATO ottenendo importanti riconoscimenti dal Governo degli Stati Uniti. Il suo motto è “Studio. Sempre”.

Aree di competenza: Cybersecurity architecture, Threat intelligence, Digital forensics, Offensive security, Incident response & SOAR, Malware analysis, Compliance & frameworks