Scopri i dettagli della vasta operazione di cyber spionaggio condotta da Earth Krahang, affliggendo enti governativi.
Il panorama del cyber spionaggio è in costante evoluzione e un recente episodio ha messo in luce l’efficienza e l’audacia degli attori di minacce statali. Designato col nome di “Earth Krahang”, questo gruppo di provenienza cinese ha sferrato una campagna coordinata che ha messo a segno attacchi contro le reti di 70 organizzazioni governative e ne ha colpito almeno 116 in 45 paesi differenti.
La strategia d’infiltrazione adottata da questo gruppo si basa su tecniche di scanning di server pubblici vulnerabili per l’identificazione di specifiche vulnerabilità, quale ad esempio CVE-2023-32315 o CVE-2022-21587. Tramite l’utilizzo di webshell, gli hacker sono riusciti a stabilire una presenza persistente e nascosta all’interno delle reti assediate.
La peculiarità di “Earth Krahang” risiede nell’uso dell’infrastruttura governativa compromessa per orchestrare attacchi verso altri enti statali. A tal fine, malware come Cobalt Strike, assieme alle backdoor RESHELL e XDealer, sono stati impiegati per assicurare un controllo remoto sulle macchine infettate, consentendo agli aggressori non solo di appropiarsi della corrispondenza email ma di utilizzare i canali di comunicazione per perpetuare attacchi di phishing ancora più sofisticati.
Tattiche e Tecniche dell’Operazione “Earth Krahang”
Il modus operandi evidenzia la sofisticatezza della campagna: il backdoor .NET RESHELL, semplice ma efficace, viene affiancato da XDealer, un malware più raffinato progettato per infettare sia sistemi Windows che Linux. Quest’ultimo, imbustato in forma di file DLL e dotato di software per la registratura di tasti e lo screenshotting, mostra un attivo sviluppo e adeguamento alle misure di cyber security.
Un elemento distintivo di questo gruppo di minaccia è l’usurpazione di server VPN sui dispositivi compromessi allo scopo di veicolare attacchi di forza bruta verso credenziali email. Per quanto riguarda l’analisi e l’accesso ai server, sono utilizzati strumenti open-source di penetration testing e di scanning quali sqlmap e wordpressscan, dimostrando una versatilità e un approccio metodico nell’esplorazione delle vulnerabilità.
Le Implicazioni del Cyberspionaggio di “Earth Krahang”
Il collegamento tra “Earth Krahang” e un’altra entità conosciuta come “Earth Lusca” suggerisce l’esistenza di un’ampia rete di gruppi impegnati nel cyberspionaggio. Nonostante alcune sovrapposizioni nella struttura dei comandi e del controllo (C2), i ricercatori hanno individuato in “Earth Krahang” un cluster autonomo, forse parte di una task force più grande operante sotto l’egida di un ente cinese.
Questa campagna mette in evidenza le complesse dinamiche del panorama digitale odierno, dove attori statali utilizzano strumenti di hacking per ottenere informazioni, influenzare le dinamiche internazionali e destabilizzare le infrastrutture informatiche avversarie. Il lavoro encomiabile dei ricercatori di Trend Micro ha contribuito ad alzare il velo su queste attività, permettendo la messa in guardia delle potenziali vittime.