Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Le Agenzie di Intelligence USA Colpiscono un produttore di soluzioni crittografiche Cinesi

Redazione RHC : 28 Aprile 2025 09:19

Nel 2024, il National Internet Emergency Response Center (CNCERT) ha rilevato e gestito un grave attacco informatico condotto da un’agenzia di intelligence statunitense contro un importante fornitore cinese di prodotti crittografici commerciali. Questo rapporto illustra i dettagli dell’operazione e intende offrire un riferimento utile a Paesi e organizzazioni competenti per individuare e prevenire efficacemente gli attacchi informatici provenienti dagli Stati Uniti.

L’attacco è iniziato con lo sfruttamento di una vulnerabilità non ancora identificata all’interno del sistema di gestione delle relazioni con i clienti (CRM) dell’azienda, utilizzato principalmente per archiviare dati sui clienti e sui contratti. Gli aggressori hanno caricato file arbitrari e, dopo aver ottenuto l’accesso, hanno cancellato alcuni registri di log per eliminare le tracce dell’intrusione.

Il 5 marzo 2024 è stato impiantato un Trojan speciale all’interno del CRM, situato nel percorso /crm/WxxxxApp/xxxxxx/xxx.php. Questo malware consentiva agli aggressori di eseguire comandi di rete arbitrari. Per evitare il rilevamento, il Trojan criptava completamente le comunicazioni, adottava tecniche di codifica delle stringhe, compressione dei dati e crittografia complessa. Successivamente, a partire dal 20 maggio 2024, l’attacco si è esteso ai sistemi aziendali di gestione del codice di prodotto e dei progetti tramite movimenti laterali all’interno della rete.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Tra marzo e settembre 2024, gli aggressori hanno utilizzato 14 IP springboard situati all’estero per collegarsi ai Trojan impiantati e sottrarre dati dal CRM per un totale di circa 950 MB. Il sistema coinvolto conteneva oltre 600 utenti registrati, più di 8.000 elenchi di file cliente e oltre 10.000 ordini contrattuali, molti dei quali relativi a enti governativi e istituzioni sensibili. Gli aggressori sono riusciti ad accedere a informazioni quali il nome dei contratti, il contenuto degli acquisti, gli importi e altri dettagli riservati.

    Da maggio a luglio 2024, tramite tre ulteriori IP springboard, è stato preso di mira anche il sistema di gestione del codice sorgente dell’azienda. Gli aggressori hanno sottratto circa 6,2 GB di dati, comprendenti codici sorgente protetti da password relativi a tre progetti di ricerca e sviluppo, gestiti da 44 utenti.

    L’analisi forense ha rivelato alcune caratteristiche distintive dell’attacco. Il Trojan utilizzato presenta evidenti analogie con strumenti offensivi già noti, impiegati in precedenti operazioni di agenzie di intelligence statunitensi. Gli attacchi si sono concentrati tra le 22:00 e le 8:00 ora di Pechino, corrispondenti alle 10:00–20:00 ora della costa orientale degli Stati Uniti, con una netta prevalenza delle attività dal lunedì al venerdì e una sospensione durante le festività principali.

    Sono stati impiegati 17 IP di attacco univoci, in grado di cambiare dinamicamente in pochi secondi. Gli indirizzi erano distribuiti in vari Paesi, tra cui Paesi Bassi, Germania e Corea del Sud, a dimostrazione dell’alto livello di attenzione anti-tracciamento e delle ampie risorse a disposizione degli aggressori.

    Infine, l’operazione ha evidenziato una sofisticata capacità di elusione. Gli aggressori hanno fatto ampio uso di strumenti open source o generici per nascondersi e confondere le analisi, impiantando temporaneamente anche comuni Trojan web nei sistemi compromessi. Inoltre, hanno cancellato sistematicamente log e file dannosi per ostacolare ulteriormente le attività di rilevamento e risposta.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
    Di Redazione RHC - 05/09/2025

    Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

    16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
    Di Redazione RHC - 05/09/2025

    Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

    Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
    Di Redazione RHC - 04/09/2025

    Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...

    Nuova Campagna MintsLoader: Buovi Attacchi di Phishing tramite PEC sono in corso
    Di Redazione RHC - 04/09/2025

    Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...

    Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28
    Di Redazione RHC - 04/09/2025

    Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistem...