APT17 ha colpito tra giugno e luglio società ed entità governative nel nostro Paese. Secondo TG Soft l’offensiva è stata “particolarmente sofisticata” e progettata “nei minimi dettagli”
APT17 per Mandiant, Deputy Dog per iDefense, Beijing Group per SecureWorks, Sneaky Panda per Crowdstrike. Sono i tanti nomi con cui è nota una cybergang cinese, individuata per la prima volta nel 2008 e legata all’intelligence cinese, che nei giorni scorsi ha colpito per due volte società ed entità governative italiane.
Come ha rilevato TG Soft, il gruppo ha colpito il 24 giugno e il 2 luglio 2024. Si è trattato di due attacchi mirati a società ed entità governative italiane sfruttando una variante del malware Rat 9002 in modalità diskless. La prima campagna del 24 giugno 2024 ha sfruttato un documento di Office, mente la seconda campagna conteneva un link. Entrambe le campagne invitavano la vittima a installare un pacchetto di Skype for Business da un link di un dominio simil governativo italiano per veicolare una variante del trojan. Entrambe le campagne, infatti, invitavano le vittime a connettersi alla pagina di un un sito che imitava il portale per i meeting di Equitalia Giustizia.
Il gruppo è noto per colpire pubbliche amministrazioni, aziende della difesa e della cybersicurezza, studi legali, società di estrazione di risorse e organizzazioni non governative degli Stati Uniti. Secondo gli esperti, gli hacker operano come contractor per l’ufficio di Jinan del ministero della Sicurezza di Stato cinese, per cui svolgono operazioni su richiesta.
L’attacco è, secondo TG Soft, “particolarmente sofisticato e progettato nei minimi dettagli”: infatti, i domini utilizzati sono “molto simili a domini ufficiali” e il pacchetto malevolo è stato realizzato “con cura”. Il download del file MSI iniziale avviene da un sito di distribuzione di Microsoft così da ridurre le possibilità di intercettazione, rilevano gli esperti. “L’uso di link legittimi di enti governativi nella pagina malevola fa pensare che il cyber-attore abbia avuto accesso ad informazioni riservate di qualche utente appartenente ad aziende o enti italiani precedentemente colpiti”, concludono.