Check Point Research ha seguito l’attività di un gruppo hacker che ha colpito alcuni ministeri degli Esteri e ambasciate. Si tratta di una tendenza che “indica un cambiamento” da parte dei gruppi sostenuti da Pechino, avvertono
Negli ultimi due mesi, Check Point Research ha seguito l’attività di un gruppo hacker cinese che ha colpito alcuni ministeri degli Esteri e ambasciate in Europa. La campagna di HTML Smuggling, con codici malevoli nascosti in allegati o pagine web, è attiva almeno dal dicembre 2022 ed è “probabilmente” una continuazione diretta di un’altra attività precedentemente segnalata da Check Point Research e attribuita ad altri gruppi di cybercriminali sostenuti dallo Stato cinese (come RedDelta e Mustang Panda).
Nel mirino della campagna c’è in particolare l’Europa dell’Est, in una fase internazionale segnata dall’invasione russa dell’Ucraina. La maggior parte dei documenti utilizzati come esche aveva al suo interno contenuti di natura diplomatica. In più di un caso, il contenuto era direttamente collegato alla Cina. Tra questi: una lettera proveniente dall’ambasciata serba a Budapest, un documento che indica le priorità della presidenza svedese del Consiglio dell’Unione europea, un invito a una conferenza diplomatica emesso dal ministero degli Esteri ungherese, un articolo su due avvocati cinesi per i diritti umani condannati a più di dieci anni di carcere. Durante l’indagine gli esperti hanno rivelato anche un documento dal nome “China Tries to Block Prominent Uyghur Speaker at UN.docx” e riferito a Dolkun Isa, attivista cinese e presidente del Congresso mondiale uiguro. All’interno, una piccola immagine, di appena un pixel: è il cosiddetto pixel tracking, che consente agli hacker di monitorare le abitudine delle vittime.
Ricordando le campagne già analizzate, gli esperti di Check Point Research hanno concluso che questa “fa parte di una tendenza più ampia che stiamo osservando di attori di minacce cinesi che spostano la loro attenzione verso l’Europa”. Non ci sono tecniche nuove o uniche ma “la combinazione delle diverse tattiche e la varietà delle catene di infezione, con conseguenti bassi tassi di rilevamento, ha permesso agli attori delle minacce di rimanere nell’ombra per un bel po’”. Infine, questa tendenza “indica un cambiamento nel prendere di mira le entità europee, con particolare attenzione alla loro politica estera”.
