Scoperto BadAudio: il malware fantasma usato da APT24 per tre anni senza essere visto

I ricercatori del Google Threat Intelligence Group (GTIG) hanno scoperto i dettagli di una campagna di spionaggio condotta dal gruppo cinese APT24. Questa attività è in corso da circa tre anni e gli hacker utilizzano il malware BadAudio, precedentemente non documentato, nei loro attacchi.

APT24 (noto anche come Pitty Tiger) attacca agenzie governative, nonché organizzazioni nei settori sanitario, edile e ingegneristico, minerario, no-profit e delle telecomunicazioni negli Stati Uniti e a Taiwan. Secondo Google, il gruppo è specializzato nel furto di proprietà intellettuale, in particolare di informazioni che rendono le organizzazioni competitive nei loro settori.

Secondo gli esperti, dal 2022 il malware è stato diffuso alle vittime attraverso vari metodi, tra cui spear phishing, compromissione della supply chain e attacchi watering-hole.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Da novembre 2022 a settembre 2025, APT24 ha compromesso più di 20 siti web legittimi in vari domini iniettando codice JavaScript dannoso. Lo script rilevava le impronte digitali dei visitatori (solo per sistemi Windows) e visualizzava una finta finestra pop-up che informava le vittime della necessità di aggiornare il software (in realtà, la finestra scaricava il malware BadAudio).

I ricercatori scrivono inoltre che, da luglio 2024, gli aggressori hanno ripetutamente hackerato un’azienda di marketing taiwanese di cui non è stato reso noto il nome, che fornisce librerie JavaScript ai propri clienti. Gli aggressori hanno iniettato codice dannoso in una libreria molto diffusa e hanno registrato un dominio spacciandolo per una CDN legittima. Questa combinazione ha permesso agli hacker di compromettere oltre 1.000 domini.

Da fine 2024 a luglio 2025, APT24 ha nuovamente attaccato la stessa azienda taiwanese, ma questa volta gli aggressori hanno iniettato codice JavaScript offuscato in un file JSON modificato. Una volta eseguito, lo script ha raccolto informazioni sui visitatori del sito web e ha inviato un report in formato base64 al server di comando e controllo.

Parallelamente a questa attività, a partire dall’agosto 2024, il gruppo ha lanciato attacchi di spear-phishing inviando e-mail. In questi messaggi, gli hacker si spacciavano per organizzazioni per il soccorso degli animali. Le e-mail di APT24 contenevano pixel di tracciamento nascosti, che aiutavano a confermare che il destinatario avesse aperto il messaggio.

I ricercatori segnalano che alcuni attacchi hanno utilizzato Google Drive e OneDrive (invece dei server degli hacker) per raccogliere dati, sebbene tali abusi siano stati spesso bloccati. Notano inoltre che in almeno un caso, un beacon Cobalt Strike è stato distribuito tramite BadAudio.

Il malware BadAudio è un downloader fortemente offuscato che utilizza una tecnica di ricerca DLL che consente il download del payload dannoso da parte di applicazioni legittime.

Il malware utilizza anche una sofisticata tecnica di offuscamento che scompone il codice lineare in blocchi discreti controllati da un “dispatcher” centrale. Ciò complica sia l’analisi automatica che quella manuale.

Una volta avviato, BadAudio raccoglie i dati di sistema di base (nome host, nome utente, informazioni sull’architettura), li crittografa con una chiave AES codificata e li trasmette al server degli aggressori. Il payload crittografato viene quindi scaricato e, dopo la decifratura, eseguito in memoria tramite sideload DLL.

Gli esperti sottolineano che degli otto campioni di BadAudio rilevati, solo due sono riconosciuti da oltre 25 soluzioni antivirus elencate su VirusTotal. I campioni rimanenti (creati il 7 dicembre 2022) sono rilevati da un massimo di cinque soluzioni di sicurezza.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.