Redazione RHC : 25 Agosto 2025 17:27
APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno dal 2013 e utilizza regolarmente e-mail di spear phishing e furti di credenziali per accedere a sistemi chiusi. Questa volta, gli aggressori hanno implementato una nuova tecnica di infezione, utilizzando file “.desktop” di Linux camuffati da documenti che scaricano malware da Google Drive e stabiliscono un canale di comando e controllo nascosto.
Secondo CloudSEK, l’attacco inizia con l’invio di archivi ZIP contenenti file falsi con un’icona PDF, sebbene in realtà si tratti di collegamenti Linux eseguibili. Una volta avviato, il file avvia il download del payload crittografato da un servizio remoto, lo decrittografa e lo posiziona in una directory temporanea.
Quindi i diritti di accesso vengono modificati e il componente scaricato viene avviato in background. Per nascondere tracce di attività e ridurre i sospetti, la vera documentazione PDF falsa viene aperta simultaneamente nel browser Firefox. Visivamente, tutto sembra legittimo, sebbene a questo punto venga installato un modulo dannoso nascosto.
Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il file scaricato è un modulo binario compilato staticamente e scritto in Go che, una volta attivato, verifica l’ambiente per il debug o l’esecuzione in una sandbox per evitare l’analisi. Se non vengono rilevati segnali sospetti, il programma persiste nel sistema e si imposta per avviarsi automaticamente all’accesso dell’utente.
Crea quindi una connessione al server di comando e controllo tramite WebSocket e mantiene un canale persistente per lo scambio di comandi. Questa tecnica consente agli aggressori di controllare segretamente i dispositivi infetti e di raccogliere dati sensibili per un lungo periodo di tempo.
Per camuffare l’attacco vengono utilizzate diverse tecniche, tra cui l’uso di icone incorporate per far sembrare il file un normale documento e la sostituzione del nome dell’eseguibile con un titolo PDF visibile. L’attività dannosa viene accuratamente nascosta: il terminale non si apre all’avvio e le notifiche di sistema non vengono visualizzate. Questo rende l’attacco particolarmente pericoloso per le organizzazioni che lavorano con ambienti Linux e presuppongono un elevato livello di sicurezza per le proprie workstation.
Il team che ha condotto l’analisi sottolinea che l’utilizzo di Google Drive come fonte per la distribuzione del payload è indicativo dello sviluppo degli strumenti del gruppo e della difficoltà di rilevarli. La scelta dell’oggetto delle email di phishing che menzionano approvvigionamenti e forniture militari è rivolta ai dipendenti di agenzie governative e dipartimenti della Difesa, il che aumenta la probabilità di apertura dei file infetti.
In caso di compromissione, gli aggressori sono in grado di controllare i sistemi a lungo termine, costruendo una catena di sorveglianza e intercettazione dei dati. Gli esperti raccomandano di bloccare l’accesso al dominio di controllo interessato, di verificare i registri delle attività per individuare connessioni sospette e di utilizzare un’analisi avanzata degli allegati nei sistemi di posta elettronica.
È inoltre importante rafforzare il controllo sugli endpoint, implementare il monitoraggio del traffico di rete e verificare regolarmente le workstation utilizzate per rilevare segnali di intrusione. La portata della minaccia è valutata come significativa, poiché la campagna colpisce strutture critiche e aumenta il rischio di fughe di informazioni classificate.
RedazioneAutore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...
Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...
Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...
Una nuova campagna malevola sta utilizzando Facebook come veicolo per diffondere Datzbro, un malware Android che combina le caratteristiche di un trojan bancario con quelle di uno spyware. L’allarme...
