Redazione RHC : 25 Agosto 2025 17:27
APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno dal 2013 e utilizza regolarmente e-mail di spear phishing e furti di credenziali per accedere a sistemi chiusi. Questa volta, gli aggressori hanno implementato una nuova tecnica di infezione, utilizzando file “.desktop” di Linux camuffati da documenti che scaricano malware da Google Drive e stabiliscono un canale di comando e controllo nascosto.
Secondo CloudSEK, l’attacco inizia con l’invio di archivi ZIP contenenti file falsi con un’icona PDF, sebbene in realtà si tratti di collegamenti Linux eseguibili. Una volta avviato, il file avvia il download del payload crittografato da un servizio remoto, lo decrittografa e lo posiziona in una directory temporanea.
Quindi i diritti di accesso vengono modificati e il componente scaricato viene avviato in background. Per nascondere tracce di attività e ridurre i sospetti, la vera documentazione PDF falsa viene aperta simultaneamente nel browser Firefox. Visivamente, tutto sembra legittimo, sebbene a questo punto venga installato un modulo dannoso nascosto.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il file scaricato è un modulo binario compilato staticamente e scritto in Go che, una volta attivato, verifica l’ambiente per il debug o l’esecuzione in una sandbox per evitare l’analisi. Se non vengono rilevati segnali sospetti, il programma persiste nel sistema e si imposta per avviarsi automaticamente all’accesso dell’utente.
Crea quindi una connessione al server di comando e controllo tramite WebSocket e mantiene un canale persistente per lo scambio di comandi. Questa tecnica consente agli aggressori di controllare segretamente i dispositivi infetti e di raccogliere dati sensibili per un lungo periodo di tempo.
Per camuffare l’attacco vengono utilizzate diverse tecniche, tra cui l’uso di icone incorporate per far sembrare il file un normale documento e la sostituzione del nome dell’eseguibile con un titolo PDF visibile. L’attività dannosa viene accuratamente nascosta: il terminale non si apre all’avvio e le notifiche di sistema non vengono visualizzate. Questo rende l’attacco particolarmente pericoloso per le organizzazioni che lavorano con ambienti Linux e presuppongono un elevato livello di sicurezza per le proprie workstation.
Il team che ha condotto l’analisi sottolinea che l’utilizzo di Google Drive come fonte per la distribuzione del payload è indicativo dello sviluppo degli strumenti del gruppo e della difficoltà di rilevarli. La scelta dell’oggetto delle email di phishing che menzionano approvvigionamenti e forniture militari è rivolta ai dipendenti di agenzie governative e dipartimenti della Difesa, il che aumenta la probabilità di apertura dei file infetti.
In caso di compromissione, gli aggressori sono in grado di controllare i sistemi a lungo termine, costruendo una catena di sorveglianza e intercettazione dei dati. Gli esperti raccomandano di bloccare l’accesso al dominio di controllo interessato, di verificare i registri delle attività per individuare connessioni sospette e di utilizzare un’analisi avanzata degli allegati nei sistemi di posta elettronica.
È inoltre importante rafforzare il controllo sugli endpoint, implementare il monitoraggio del traffico di rete e verificare regolarmente le workstation utilizzate per rilevare segnali di intrusione. La portata della minaccia è valutata come significativa, poiché la campagna colpisce strutture critiche e aumenta il rischio di fughe di informazioni classificate.
RedazioneMicrosoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...
Un’indagine condotta dall’Unione Europea di Radiodiffusione (EBU), con il supporto della BBC, ha messo in luce che i chatbot più popolari tendono a distorcere le notizie, modificandone il senso, ...
Spesso abbiamo citato questa frase: “Combattere il cybercrime è come estirpare le erbacce: se non le estirpi completamente rinasceranno, molto più vigorose di prima” e mai come ora risulta esser...
Per tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
