Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Spionaggio digitale made in China: APT41 sfrutta SharePoint per infiltrarsi nei governi africani

Redazione RHC : 4 Agosto 2025 07:13

Il gruppo informatico APT41, collegato alla Cina, ha lanciato una nuova operazione di spionaggio contro i servizi IT governativi in Africa, una svolta inaspettata per una regione precedentemente considerata un obiettivo improbabile. Gli specialisti di Kaspersky Lab hanno identificato l’attacco dopo aver rilevato attività sospette sulle workstation di un’organizzazione non identificata. Gli aggressori hanno utilizzato strumenti di amministrazione remota ed eseguito comandi per garantire la disponibilità dei loro server di controllo all’interno della rete compromessa.

Successivamente è stato rivelato che il punto di ingresso era un host non rintracciabile, dove il framework Impacket, inclusi i moduli Atexec e WmiExec, veniva avviato nel contesto di un account di servizio. Dopo l’esecuzione, gli aggressori hanno temporaneamente interrotto le loro attività. Tuttavia, hanno presto iniziato a utilizzare credenziali ad alto privilegio rubate per aumentare i diritti e spostarsi lateralmente sulla rete, anche utilizzando lo strumento Cobalt Strike, implementato tramite la tecnica DLL Sideloading

La particolarità delle librerie dannose è che controllano le impostazioni della lingua di sistema e interrompono l’esecuzione se vengono rilevati pacchetti di lingua cinese (sia semplificato che tradizionale), giapponese o coreano. Questa misura è chiaramente mirata a evitare l’infezione dei computer nei paesi in cui hanno sede gli sviluppatori.

Gli aggressori hanno anche utilizzato SharePoint Server come centro di controllo nell’infrastruttura della vittima, camuffando l’attività dannosa come normale attività aziendale. È stato utilizzato per trasmettere comandi eseguiti da un trojan scritto in C#, che ha ottenuto l’accesso al sistema tramite i file “agents.exe” e “agentx.exe” trasmessi tramite il protocollo SMB. Questi file eseguibili interagivano con la web shell CommandHandler.aspx installata su SharePoint, eseguendo i comandi degli aggressori.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


L’attacco combina comuni tecniche di penetrazione con tattiche Living off the Land, che utilizzano servizi aziendali legittimi come strumenti di controllo. Queste tecniche sono coerenti con gli standard MITRE ATT&CK T1071.001 e T1047, il che le rende particolarmente difficili da rilevare con i mezzi tradizionali.

Dopo la ricognizione iniziale, gli aggressori si sono concentrati sulle macchine di interesse. Da lì, hanno avviato script tramite “cmd.exe” che scaricavano file HTA dannosi da una fonte esterna, il cui dominio era camuffato da una risorsa ufficiale di GitHub. Sebbene l’esatta funzionalità del contenuto scaricato sia ancora sconosciuta, è noto che uno degli script utilizzati in precedenza avviava una reverse shell, fornendo il pieno controllo remoto del sistema.

Per raccogliere informazioni è stata utilizzata un’ampia gamma di strumenti. Una versione modificata dello strumento Pillager ha consentito il furto di credenziali di accesso da browser e terminali, file, corrispondenza, e-mail, screenshot e altre informazioni sensibili. Lo strumento Checkout ha raccolto informazioni sui file scaricati e sui dati di pagamento, inclusi dati provenienti da browser come Chrome, Opera, Brave e altri. L’utility RawCopy è stata utilizzata per estrarre i file di registro non elaborati, mentre Mimikatz è stato utilizzato per scaricare le credenziali utente.

APT41 ha dimostrato un elevato livello di adattabilità, adattando i suoi moduli malware alle specifiche dell’infrastruttura della vittima. Inoltre, gli aggressori hanno utilizzato attivamente una combinazione di strumenti legittimi e proprietari, inclusi strumenti di penetration testing, per camuffare l’attacco come azioni di dipendenti interni.

Questa operazione in Africa segna un cambiamento nell’attenzione geografica di APT41 e mette in luce la crescente attenzione delle unità informatiche cinesi verso regioni precedentemente inesplorate dai loro obiettivi. Secondo Trend Micro, i primi segnali di attività in questa direzione sono stati osservati già alla fine del 2022. L’utilizzo di servizi aziendali interni come canali di controllo e raccolta dati conferma un’evoluzione negli approcci in cui il confine tra pentest e attacchi reali è praticamente annullato.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Le Aziende Falliscono per il ransomware! Einhaus Group chiude, ed è un monito per tutti
Di Redazione RHC - 04/08/2025

Ne avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un...

Scarafaggi Cyborg: a Singapore la prima produzione in serie di scarafaggi cyborg al mondo
Di Redazione RHC - 04/08/2025

Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di...

L’IA ha fame di Energia! Al via HyperGrid, il più grande complesso nucleare privato
Di Redazione RHC - 03/08/2025

Fermi America ha firmato un memorandum d’intesa con Hyundai Engineering & Construction (Hyundai E&C) per progettare e costruire la parte nucleare di un progetto infrastrutturale energet...

Arrestato un medico torinese per produzione di materiale pedopornografico
Di Redazione RHC - 03/08/2025

La Polizia di Stato, in esecuzione di ordinanza di custodia cautelare emessa dal GIP di Torino, ha proceduto all’arresto di un quarantenne medico torinese indagato per produzione di contenuti m...

Vibe Coding fuori controllo. L’IA Genera codice vulnerabile, ma tutti se ne fregano
Di Redazione RHC - 02/08/2025

L’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...