Il gruppo Patchwork , noto anche con gli alias APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger e Zinc Emerson, ha lanciato una nuova campagna di spear phishing rivolta al settore della difesa turco. L’obiettivo principale degli aggressori, secondo gli analisti, era ottenere informazioni sensibili sugli sviluppi nel campo delle piattaforme senza pilota e delle armi ipersoniche.
Secondo Arctic Wolf Labs , la catena di attacchi si compone di cinque fasi e inizia con la distribuzione di file LNK (collegamenti rapidi di Windows) camuffati da inviti a una conferenza internazionale sui veicoli senza pilota. Queste e-mail erano indirizzate a dipendenti di aziende che operano nel complesso militare-industriale turco, tra cui un produttore di missili ad alta precisione.
Il contesto geopolitico rende l’attacco particolarmente significativo: il suo lancio ha coinciso con l’approfondimento della cooperazione tecnico-militare tra Turchia e Pakistan, nonché con l’escalation del conflitto tra Pakistan e India. Secondo diversi analisti, Patchwork agisce nell’interesse dello Stato indiano e dal 2009 attacca sistematicamente obiettivi politici e militari nei paesi dell’Asia meridionale.
All’inizio del 2025, lo stesso gruppo ha lanciato una campagna contro le università cinesi usando documenti relativi al settore energetico come esca. Ha utilizzato un downloader basato su Rust che ha decrittografato ed eseguito un trojan C# noto come Protego, progettato per raccogliere dati dai computer infetti.
L’ultimo attacco alle organizzazioni di difesa turche utilizza ancora una volta file LNK che incorporano comandi PowerShell Gli script avviano una connessione a un server remoto expouav[.]org – il dominio è stato registrato il 25 giugno 2025 e viene utilizzato come punto di distribuzione del payload. Oltre al codice dannoso, il sito contiene un documento PDF che imita una conferenza internazionale, facendo formalmente riferimento a un evento reale tenutosi sulla piattaforma WASET. Ciò consente all’utente di essere distratto da un “wrapper” visivamente credibile mentre gli script vengono eseguiti in background.
Ulteriori azioni portano al caricamento di una libreria DLL, avviata tramite il metodo di caricamento laterale delle DLL, ovvero la sostituzione di un componente legittimo in un processo attendibile. La sua esecuzione viene inizializzata da un’attività pianificata nell’Utilità di pianificazione di Windows, che avvia lo shellcode incorporato. Questo modulo esegue la ricognizione dell’ambiente: raccoglie informazioni di sistema, acquisisce screenshot dello schermo e invia dati al server C2.
Una caratteristica distintiva delle nuove operazioni è l’utilizzo di file PE a 32 bit al posto delle DLL a 64 bit precedentemente utilizzate. Ciò indica l’evoluzione della base tecnica e un tentativo di aumentare il livello di occultamento: i file binari x86 compatti sono più facili da iniettare in processi attendibili e il cambiamento di architettura complica il rilevamento automatico delle minacce.
I ricercatori hanno inoltre trovato prove di sovrapposizione tra l’infrastruttura di Patchwork ed elementi precedentemente associati al gruppo DoNot Team (APT-Q-38, Bellyworm), il che potrebbe indicare una cooperazione tattica o logistica tra i due cluster APT indiani.
La campagna contro l’industria della difesa turca segna un’espansione dell’area di interesse di Patchwork, precedentemente concentrata sull’Asia meridionale. Dato il ruolo chiave della Turchia nel mercato dei droni (il Paese rappresenta circa il 65% delle esportazioni globali) e la sua ambizione di sviluppare armi ipersoniche, le attività del gruppo indiano di cyberspionaggio appaiono strategicamente motivate.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
