Redazione RHC : 25 Agosto 2025 17:27
APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno dal 2013 e utilizza regolarmente e-mail di spear phishing e furti di credenziali per accedere a sistemi chiusi. Questa volta, gli aggressori hanno implementato una nuova tecnica di infezione, utilizzando file “.desktop” di Linux camuffati da documenti che scaricano malware da Google Drive e stabiliscono un canale di comando e controllo nascosto.
Secondo CloudSEK, l’attacco inizia con l’invio di archivi ZIP contenenti file falsi con un’icona PDF, sebbene in realtà si tratti di collegamenti Linux eseguibili. Una volta avviato, il file avvia il download del payload crittografato da un servizio remoto, lo decrittografa e lo posiziona in una directory temporanea.
Quindi i diritti di accesso vengono modificati e il componente scaricato viene avviato in background. Per nascondere tracce di attività e ridurre i sospetti, la vera documentazione PDF falsa viene aperta simultaneamente nel browser Firefox. Visivamente, tutto sembra legittimo, sebbene a questo punto venga installato un modulo dannoso nascosto.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Il file scaricato è un modulo binario compilato staticamente e scritto in Go che, una volta attivato, verifica l’ambiente per il debug o l’esecuzione in una sandbox per evitare l’analisi. Se non vengono rilevati segnali sospetti, il programma persiste nel sistema e si imposta per avviarsi automaticamente all’accesso dell’utente.
Crea quindi una connessione al server di comando e controllo tramite WebSocket e mantiene un canale persistente per lo scambio di comandi. Questa tecnica consente agli aggressori di controllare segretamente i dispositivi infetti e di raccogliere dati sensibili per un lungo periodo di tempo.
Per camuffare l’attacco vengono utilizzate diverse tecniche, tra cui l’uso di icone incorporate per far sembrare il file un normale documento e la sostituzione del nome dell’eseguibile con un titolo PDF visibile. L’attività dannosa viene accuratamente nascosta: il terminale non si apre all’avvio e le notifiche di sistema non vengono visualizzate. Questo rende l’attacco particolarmente pericoloso per le organizzazioni che lavorano con ambienti Linux e presuppongono un elevato livello di sicurezza per le proprie workstation.
Il team che ha condotto l’analisi sottolinea che l’utilizzo di Google Drive come fonte per la distribuzione del payload è indicativo dello sviluppo degli strumenti del gruppo e della difficoltà di rilevarli. La scelta dell’oggetto delle email di phishing che menzionano approvvigionamenti e forniture militari è rivolta ai dipendenti di agenzie governative e dipartimenti della Difesa, il che aumenta la probabilità di apertura dei file infetti.
In caso di compromissione, gli aggressori sono in grado di controllare i sistemi a lungo termine, costruendo una catena di sorveglianza e intercettazione dei dati. Gli esperti raccomandano di bloccare l’accesso al dominio di controllo interessato, di verificare i registri delle attività per individuare connessioni sospette e di utilizzare un’analisi avanzata degli allegati nei sistemi di posta elettronica.
È inoltre importante rafforzare il controllo sugli endpoint, implementare il monitoraggio del traffico di rete e verificare regolarmente le workstation utilizzate per rilevare segnali di intrusione. La portata della minaccia è valutata come significativa, poiché la campagna colpisce strutture critiche e aumenta il rischio di fughe di informazioni classificate.
RedazioneAPT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno ...
Nasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio allȁ...
Il tema dell’hacking e del furto di auto tramite Flipper Zero è tornato alla ribalta in tutto il mondo e anche noi ne abbiamo parlato con un recente articolo. Questa volta, gli hacker hann...
F6 ha segnalato un forte aumento delle frodi in cui i criminali sfruttano i minori per accedere ai conti bancari dei genitori. Secondo gli analisti, nella prima metà del 2025 sono stati registrat...
Microsoft ha rilasciato una nuova build 26200.5761 (KB5064093) di Windows 11 Insider Preview per gli utenti Windows Insider nel Canale Dev. L’aggiornamento introduce diverse interessanti funzio...
