Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Novembre 2025 12:08
I ricercatori del Google Threat Intelligence Group (GTIG) hanno scoperto i dettagli di una campagna di spionaggio condotta dal gruppo cinese APT24. Questa attività è in corso da circa tre anni e gli hacker utilizzano il malware BadAudio, precedentemente non documentato, nei loro attacchi.
APT24 (noto anche come Pitty Tiger) attacca agenzie governative, nonché organizzazioni nei settori sanitario, edile e ingegneristico, minerario, no-profit e delle telecomunicazioni negli Stati Uniti e a Taiwan. Secondo Google, il gruppo è specializzato nel furto di proprietà intellettuale, in particolare di informazioni che rendono le organizzazioni competitive nei loro settori.
Secondo gli esperti, dal 2022 il malware è stato diffuso alle vittime attraverso vari metodi, tra cui spear phishing, compromissione della supply chain e attacchi watering-hole.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Da novembre 2022 a settembre 2025, APT24 ha compromesso più di 20 siti web legittimi in vari domini iniettando codice JavaScript dannoso. Lo script rilevava le impronte digitali dei visitatori (solo per sistemi Windows) e visualizzava una finta finestra pop-up che informava le vittime della necessità di aggiornare il software (in realtà, la finestra scaricava il malware BadAudio).
I ricercatori scrivono inoltre che, da luglio 2024, gli aggressori hanno ripetutamente hackerato un’azienda di marketing taiwanese di cui non è stato reso noto il nome, che fornisce librerie JavaScript ai propri clienti. Gli aggressori hanno iniettato codice dannoso in una libreria molto diffusa e hanno registrato un dominio spacciandolo per una CDN legittima. Questa combinazione ha permesso agli hacker di compromettere oltre 1.000 domini.
Da fine 2024 a luglio 2025, APT24 ha nuovamente attaccato la stessa azienda taiwanese, ma questa volta gli aggressori hanno iniettato codice JavaScript offuscato in un file JSON modificato. Una volta eseguito, lo script ha raccolto informazioni sui visitatori del sito web e ha inviato un report in formato base64 al server di comando e controllo.
Parallelamente a questa attività, a partire dall’agosto 2024, il gruppo ha lanciato attacchi di spear-phishing inviando e-mail. In questi messaggi, gli hacker si spacciavano per organizzazioni per il soccorso degli animali. Le e-mail di APT24 contenevano pixel di tracciamento nascosti, che aiutavano a confermare che il destinatario avesse aperto il messaggio.
I ricercatori segnalano che alcuni attacchi hanno utilizzato Google Drive e OneDrive (invece dei server degli hacker) per raccogliere dati, sebbene tali abusi siano stati spesso bloccati. Notano inoltre che in almeno un caso, un beacon Cobalt Strike è stato distribuito tramite BadAudio.
Il malware BadAudio è un downloader fortemente offuscato che utilizza una tecnica di ricerca DLL che consente il download del payload dannoso da parte di applicazioni legittime.
Il malware utilizza anche una sofisticata tecnica di offuscamento che scompone il codice lineare in blocchi discreti controllati da un “dispatcher” centrale. Ciò complica sia l’analisi automatica che quella manuale.
Una volta avviato, BadAudio raccoglie i dati di sistema di base (nome host, nome utente, informazioni sull’architettura), li crittografa con una chiave AES codificata e li trasmette al server degli aggressori. Il payload crittografato viene quindi scaricato e, dopo la decifratura, eseguito in memoria tramite sideload DLL.
Gli esperti sottolineano che degli otto campioni di BadAudio rilevati, solo due sono riconosciuti da oltre 25 soluzioni antivirus elencate su VirusTotal. I campioni rimanenti (creati il 7 dicembre 2022) sono rilevati da un massimo di cinque soluzioni di sicurezza.
RedazioneUna vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
Secondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo...
Siamo connessi, connessi a tutto, iperconnessi. La nostra vita professionale e sociale è scandita da deadline strettissime e da un’asticella che viene continuamente alzata, dobbiamo spingere. Ci im...
Il Centro Congressi Frentani ospiterà il 12 dicembre la conferenza “Cybercrime, Artificial Intelligence & Digital Forensics”, l’evento annuale organizzato da IISFA – Associazione Italiana...
Un nuovo post pubblicato poche ore fa sul forum underground Exploit rivela l’ennesima offerta criminale legata alla vendita di accessi a siti compromessi. L’inserzionista, un utente storico del fo...
