Spionaggio digitale made in China: APT41 sfrutta SharePoint per infiltrarsi nei governi africani

Redazione RHC : 4 Agosto 2025 07:13

Il gruppo informatico APT41, collegato alla Cina, ha lanciato una nuova operazione di spionaggio contro i servizi IT governativi in Africa, una svolta inaspettata per una regione precedentemente considerata un obiettivo improbabile. Gli specialisti di Kaspersky Lab hanno identificato l’attacco dopo aver rilevato attività sospette sulle workstation di un’organizzazione non identificata. Gli aggressori hanno utilizzato strumenti di amministrazione remota ed eseguito comandi per garantire la disponibilità dei loro server di controllo all’interno della rete compromessa.

Successivamente è stato rivelato che il punto di ingresso era un host non rintracciabile, dove il framework Impacket, inclusi i moduli Atexec e WmiExec, veniva avviato nel contesto di un account di servizio. Dopo l’esecuzione, gli aggressori hanno temporaneamente interrotto le loro attività. Tuttavia, hanno presto iniziato a utilizzare credenziali ad alto privilegio rubate per aumentare i diritti e spostarsi lateralmente sulla rete, anche utilizzando lo strumento Cobalt Strike, implementato tramite la tecnica DLL Sideloading

La particolarità delle librerie dannose è che controllano le impostazioni della lingua di sistema e interrompono l’esecuzione se vengono rilevati pacchetti di lingua cinese (sia semplificato che tradizionale), giapponese o coreano. Questa misura è chiaramente mirata a evitare l’infezione dei computer nei paesi in cui hanno sede gli sviluppatori.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli aggressori hanno anche utilizzato SharePoint Server come centro di controllo nell’infrastruttura della vittima, camuffando l’attività dannosa come normale attività aziendale. È stato utilizzato per trasmettere comandi eseguiti da un trojan scritto in C#, che ha ottenuto l’accesso al sistema tramite i file “agents.exe” e “agentx.exe” trasmessi tramite il protocollo SMB. Questi file eseguibili interagivano con la web shell CommandHandler.aspx installata su SharePoint, eseguendo i comandi degli aggressori.

L’attacco combina comuni tecniche di penetrazione con tattiche ” Living off the Land “, che utilizzano servizi aziendali legittimi come strumenti di controllo. Queste tecniche sono coerenti con gli standard MITRE ATT&CK T1071.001 e T1047, il che le rende particolarmente difficili da rilevare con i mezzi tradizionali.

Dopo la ricognizione iniziale, gli aggressori si sono concentrati sulle macchine di interesse. Da lì, hanno avviato script tramite “cmd.exe” che scaricavano file HTA dannosi da una fonte esterna, il cui dominio era camuffato da una risorsa ufficiale di GitHub. Sebbene l’esatta funzionalità del contenuto scaricato sia ancora sconosciuta, è noto che uno degli script utilizzati in precedenza avviava una reverse shell, fornendo il pieno controllo remoto del sistema.

Per raccogliere informazioni è stata utilizzata un’ampia gamma di strumenti. Una versione modificata dello strumento Pillager ha consentito il furto di credenziali di accesso da browser e terminali, file, corrispondenza, e-mail, screenshot e altre informazioni sensibili. Lo strumento Checkout ha raccolto informazioni sui file scaricati e sui dati di pagamento, inclusi dati provenienti da browser come Chrome, Opera, Brave e altri. L’utility RawCopy è stata utilizzata per estrarre i file di registro non elaborati, mentre Mimikatz è stato utilizzato per scaricare le credenziali utente.

APT41 ha dimostrato un elevato livello di adattabilità, adattando i suoi moduli malware alle specifiche dell’infrastruttura della vittima. Inoltre, gli aggressori hanno utilizzato attivamente una combinazione di strumenti legittimi e proprietari, inclusi strumenti di penetration testing, per camuffare l’attacco come azioni di dipendenti interni.

Questa operazione in Africa segna un cambiamento nell’attenzione geografica di APT41 e mette in luce la crescente attenzione delle unità informatiche cinesi verso regioni precedentemente inesplorate dai loro obiettivi. Secondo Trend Micro, i primi segnali di attività in questa direzione sono stati osservati già alla fine del 2022. L’utilizzo di servizi aziendali interni come canali di controllo e raccolta dati conferma un’evoluzione negli approcci in cui il confine tra pentest e attacchi reali è praticamente annullato.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli