Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Qualcosa si muove da tempo nelle reti delle telecomunicazioni sudamericane.
Non è rumore, non è traffico normale.
È un’attività paziente, silenziosa, costruita con strumenti pensati per restare nascosti il più a lungo possibile.
Dietro queste operazioni compare un attore tracciato come UAT-9244, un gruppo che secondo gli analisti ha collegamenti con ambienti APT legati alla Cina. Le operazioni osservate dal 2024 puntano direttamente alle infrastrutture di telecomunicazione, sfruttando sistemi Windows, Linux e perfino dispositivi di rete periferici.
Uno degli elementi più interessanti è un nuovo impianto malware chiamato TernDoor. In realtà non nasce da zero: deriva da CrowDoor, una backdoor già osservata in intrusioni attribuite a gruppi come FamousSparrow ed Earth Estries. In pratica è una variante evoluta, con alcune modifiche nel modo in cui gestisce i comandi e nelle sue componenti interne.
L’infezione parte da un eseguibile legittimo, “wsprint.exe”. Questo programma carica una DLL malevola chiamata “BugSplatRc64.dll”, che a sua volta legge un file dal disco denominato “WSPrint.dll”. Il contenuto viene decifrato usando la chiave “qwiozpVngruhg123”, poi eseguito in memoria.
È lì che entra in gioco TernDoor.
Una volta attivo, il malware stabilisce comunicazioni con un server di comando e controllo, raccoglie informazioni di sistema, esegue comandi remoti e gestisce file. Include anche un driver Windows crittografato che può sospendere, riattivare o terminare processi, una mossa che sembra pensata per evitare rilevamenti.
Per restare nel sistema, TernDoor utilizza due strade.
La prima è una attività pianificata chiamata “WSPrint” che viene avviata automaticamente all’accensione della macchina. La seconda è una chiave nel registro di Windows che lancia l’eseguibile al login dell’utente.
C’è poi un dettaglio curioso. Il malware modifica alcune chiavi del registro legate alle attività pianificate, cancellando o alterando informazioni. Lo scopo è semplice: nascondere la presenza del task nel sistema. Insomma… sparire dalla vista degli amministratori.
Gli indirizzi IP di comando individuati condividono lo stesso certificato SSL su porta 443. Partendo da questo elemento, gli analisti hanno identificato altri diciotto indirizzi IP probabilmente collegati alla stessa infrastruttura.
Il secondo impianto individuato si chiama PeerTime. È una backdoor ELF progettata per funzionare su diverse architetture hardware, tra cui ARM, MIPS e PPC. Questo dettaglio suggerisce una cosa abbastanza chiara: il malware può colpire molti sistemi embedded.
PeerTime utilizza il protocollo BitTorrent per recuperare informazioni sui server di comando, scaricare file da altri nodi e avviarli sul sistema infetto. Il processo può perfino cambiare nome per sembrare un software innocuo.
Piccolo trucco… grande effetto.
Il terzo strumento è BruteEntry, uno scanner progettato per trasformare dispositivi Linux compromessi in nodi di scansione di massa. In pratica diventano Operational Relay Boxes, utilizzate per tentare accessi brute force contro servizi come SSH, Postgres e Tomcat su altri server.
L’intera analisi tecnica è stata pubblicata dai ricercatori di Cisco Talos nel loro report originale.
Per la community di Red Hot Cyber vale una riflessione semplice ma scomoda: quando un attore riesce a trasformare infrastrutture legittime in piattaforme di attacco distribuite, il problema non è solo il malware.
È la visibilità. E senza visibilità… la difesa resta sempre un passo indietro.
