Redazione RHC : 21 Settembre 2025 19:17
Il gruppo Patchwork , noto anche con gli alias APT-C-09, APT-Q-36, Chinastrats, Dropping Elephant, Operation Hangover, Quilted Tiger e Zinc Emerson, ha lanciato una nuova campagna di spear phishing rivolta al settore della difesa turco. L’obiettivo principale degli aggressori, secondo gli analisti, era ottenere informazioni sensibili sugli sviluppi nel campo delle piattaforme senza pilota e delle armi ipersoniche.
Secondo Arctic Wolf Labs , la catena di attacchi si compone di cinque fasi e inizia con la distribuzione di file LNK (collegamenti rapidi di Windows) camuffati da inviti a una conferenza internazionale sui veicoli senza pilota. Queste e-mail erano indirizzate a dipendenti di aziende che operano nel complesso militare-industriale turco, tra cui un produttore di missili ad alta precisione.
Il contesto geopolitico rende l’attacco particolarmente significativo: il suo lancio ha coinciso con l’approfondimento della cooperazione tecnico-militare tra Turchia e Pakistan, nonché con l’escalation del conflitto tra Pakistan e India. Secondo diversi analisti, Patchwork agisce nell’interesse dello Stato indiano e dal 2009 attacca sistematicamente obiettivi politici e militari nei paesi dell’Asia meridionale.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
All’inizio del 2025, lo stesso gruppo ha lanciato una campagna contro le università cinesi usando documenti relativi al settore energetico come esca. Ha utilizzato un downloader basato su Rust che ha decrittografato ed eseguito un trojan C# noto come Protego, progettato per raccogliere dati dai computer infetti.
L’ultimo attacco alle organizzazioni di difesa turche utilizza ancora una volta file LNK che incorporano comandi PowerShell Gli script avviano una connessione a un server remoto expouav[.]org – il dominio è stato registrato il 25 giugno 2025 e viene utilizzato come punto di distribuzione del payload. Oltre al codice dannoso, il sito contiene un documento PDF che imita una conferenza internazionale, facendo formalmente riferimento a un evento reale tenutosi sulla piattaforma WASET. Ciò consente all’utente di essere distratto da un “wrapper” visivamente credibile mentre gli script vengono eseguiti in background.
Ulteriori azioni portano al caricamento di una libreria DLL, avviata tramite il metodo di caricamento laterale delle DLL, ovvero la sostituzione di un componente legittimo in un processo attendibile. La sua esecuzione viene inizializzata da un’attività pianificata nell’Utilità di pianificazione di Windows, che avvia lo shellcode incorporato. Questo modulo esegue la ricognizione dell’ambiente: raccoglie informazioni di sistema, acquisisce screenshot dello schermo e invia dati al server C2.
Una caratteristica distintiva delle nuove operazioni è l’utilizzo di file PE a 32 bit al posto delle DLL a 64 bit precedentemente utilizzate. Ciò indica l’evoluzione della base tecnica e un tentativo di aumentare il livello di occultamento: i file binari x86 compatti sono più facili da iniettare in processi attendibili e il cambiamento di architettura complica il rilevamento automatico delle minacce.
I ricercatori hanno inoltre trovato prove di sovrapposizione tra l’infrastruttura di Patchwork ed elementi precedentemente associati al gruppo DoNot Team (APT-Q-38, Bellyworm), il che potrebbe indicare una cooperazione tattica o logistica tra i due cluster APT indiani.
La campagna contro l’industria della difesa turca segna un’espansione dell’area di interesse di Patchwork, precedentemente concentrata sull’Asia meridionale. Dato il ruolo chiave della Turchia nel mercato dei droni (il Paese rappresenta circa il 65% delle esportazioni globali) e la sua ambizione di sviluppare armi ipersoniche, le attività del gruppo indiano di cyberspionaggio appaiono strategicamente motivate.
RedazioneNel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
