Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

APT Earth Hundun: nuove tattiche di cyber spionaggio nell’Asia-Pacifico

Sandro Sana : 21 Maggio 2024 07:09

Un’analisi di Trend Micro rivela le ultime versioni di Waterbear e Deuterbear, due malware usati da Earth Hundun.

Chi è APT Earth Hundun?

APT Earth Hundun è un gruppo di cyber spionaggio che opera principalmente nell’Asia-Pacifico, con obiettivi che includono governi, organizzazioni militari, istituzioni accademiche e aziende di telecomunicazioni.

Il nome Earth Hundun deriva da un termine cinese che significa caos o disordine, e si riferisce alla capacità del gruppo di nascondere le sue attività e di eludere le difese. Il gruppo è attivo dal 2009 e usa una varietà di strumenti e tecniche per infiltrarsi nelle reti delle vittime e rubare informazioni sensibili.

Quali sono le ultime campagne di APT Earth Hundun?

Recentemente, sono stati osservati attacchi informatici che hanno preso di mira diverse organizzazioni in vari settori, come la tecnologia, la ricerca e il governo. Questi attacchi coinvolgono una famiglia di malware nota come Waterbear, che è collegata al gruppo di cyber spionaggio Earth Hundun (anche noto come BlackTech), un attore che si concentra sulla raccolta di informazioni da organizzazioni di tecnologia e governo, soprattutto nella regione Asia-Pacifico.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Tra l’arsenale di armi del gruppo, il backdoor Waterbear è uno dei più complessi, con una vasta gamma di tecniche anti-debug, anti-sandbox e di ostacolo agli antivirus. Inoltre, i frequenti aggiornamenti da parte dei suoi sviluppatori hanno portato a ancora più tattiche di evasione, tra cui il miglioramento del suo loader, downloader e protocollo di comunicazione. Questo rapporto approfondirà le ultime tecniche che Earth Hundun ha implementato con Waterbear e fornirà un’analisi della sua ultima iterazione, Deuterbear.

Come funzionano Waterbear e Deuterbear?

Waterbear e Deuterbear sono due malware usati da APT Earth Hundun per mantenere l’accesso persistente alle reti infettate e per eseguire comandi remoti. Entrambi i malware sono modulari e supportano il caricamento di plugin per aumentare le loro funzionalità.

Waterbear è stato scoperto per la prima volta nel 2009 e da allora ha subito diverse modifiche e aggiornamenti. Deuterbear è una versione più recente e avanzata di Waterbear, che è stata rilevata per la prima volta nell’ottobre 2022.

Quali sono le differenze tra Waterbear e Deuterbear?

Secondo un rapporto di Trend Micro, Deuterbear presenta alcune differenze significative rispetto a Waterbear, che riflettono l’evoluzione delle tattiche di APT Earth Hundun. Alcune di queste differenze sono:

  • Deuterbear usa un formato shellcode per i suoi plugin, che gli permette di caricare codice eseguibile in memoria senza scrivere file sul disco. Questo rende più difficile l’analisi e il rilevamento del malware.
  • Deuterbear abbandona gli handshake durante l’operazione RAT, che significa che non invia più pacchetti di conferma al server di comando e controllo (C2) dopo aver ricevuto un comando. Questo riduce il traffico di rete e la possibilità di essere intercettato.
  • Deuterbear usa HTTPS per la comunicazione C2, che gli consente di mimetizzarsi nel traffico web normale e di bypassare i firewall e i proxy. Inoltre, Deuterbear usa domini legittimi come Google o Microsoft per nascondere i suoi indirizzi C2.
  • Deuterbear implementa meno comandi rispetto a Waterbear (20 contro più di 60), ma supporta più plugin per eseguire operazioni come la raccolta di informazioni, la manipolazione di file, la gestione di processi, la cattura di schermate e la registrazione di tasti. Questo rende Deuterbear più flessibile e adattabile alle esigenze del gruppo.

Quali sono le caratteristiche di Waterbear?

Oltre alle differenze con Deuterbear, Waterbear presenta alcune caratteristiche distintive che meritano di essere menzionate. Alcune di queste sono:

  • Waterbear ha avuto oltre 10 versioni dal 2009, con il numero di versione direttamente visibile nella configurazione. Nonostante le soluzioni disponibili per le versioni precedenti, i suoi operatori persistono nel migliorare i flussi di infezione fino a un compromesso riuscito. Pertanto, è comune trovare più versioni che coesistono nello stesso periodo e anche negli ambienti delle stesse vittime.
  • Alcuni downloader di Waterbear sono stati visti usare server di comando e controllo (C&C) con indirizzi IP interni (ad esempio, il downloader con hash 6b9a14d4d9230e038ffd9e1f5fd0d3065ff0a78b52ab338644462864740c2241 usa l’IP interno 192.168.11[.]2 come suo server C&C).
  • Questo suggerisce che gli attaccanti potrebbero avere una conoscenza approfondita delle reti delle loro vittime, impiegando server di salto multilivello per evitare il rilevamento. Tali tattiche sottolineano la natura sofisticata di questi attacchi, che sono progettati per mantenere in modo furtivo la presenza e il controllo negli ambienti compromessi.

Quali sono le implicazioni per la sicurezza?

L’evoluzione di Waterbear e Deuterbear indica progressi significativi da parte di APT Earth Hundun nello sviluppo del suo arsenale di strumenti, soprattutto in termini di anti-analisi e evasione del rilevamento. Questo suggerisce che le organizzazioni devono rimanere vigili e aggiornate sulle ultime minacce per proteggere adeguatamente le loro risorse digitali.

Conclusioni

Dal 2009, Earth Hundun ha continuato a evolvere e perfezionare il backdoor Waterbear, così come le sue molte varianti e ramificazioni. Nonostante le soluzioni disponibili, i miglioramenti nei metodi di infezione e nei meccanismi anti-analisi hanno portato alla variante più avanzata finora: Deuterbear. Il downloader di Deuterbear impiega la crittografia HTTPS per la protezione del traffico di rete e implementa vari aggiornamenti nell’esecuzione del malware, come alterare la decrittazione della funzione, controllare la presenza di debugger o sandbox e modificare i protocolli di traffico.

Secondo la nostra telemetria, Earth Hundun ha continuato a infiltrarsi nella regione Asia-Pacifico, e l’evoluzione continua di Waterbear e Deuterbear presenta sfide formidabili agli sforzi di difesa organizzativa. Pertanto, Trend Micro rimane impegnata a migliorare ulteriormente i nostri metodi di monitoraggio e rilevamento di conseguenza.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano
Di Redazione RHC - 02/08/2025

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...

Exploit RCE 0day/0click su iOS in vendita. Scopriamo il mercato delle armi cibernetiche per lo spionaggio
Di Redazione RHC - 01/08/2025

Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...

Lovense scrive a Red Hot Cyber. Il CEO manda dei chiarimenti sulle vulnerabilità sicurezza
Di Redazione RHC - 01/08/2025

In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...

Che cos’è il vibe coding? Scopriamo la nuova frontiera della Programmazione
Di Diego Corbi - 31/07/2025

“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...

Nokia sotto attacco: su DarkForums spunta in vendita il database di quasi 100.000 dipendenti
Di Redazione RHC - 31/07/2025

Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...