Nuove minacce cyber sono in agguato e si aggiungono ad un clima di alta tensione che interessa il mondo intero. Nessun settore è escluso. Gli hacker affinano le loro tecniche e, spesso, vengono assoldati da alte cariche statali. Questo è il caso del nuovo RAT identificato dai ricercatori di Unit 42 di Palo Alto Networks, un trojan di accesso remoto, difficile da rilevare, denominato PingPull, utilizzato dal gruppo APT GALLIUM.
GALLIUM (noto anche come Operation Soft Cell), è diventato celebre per aver colpito società di telecomunicazioni operanti nel sud-est asiatico, in Europa e in Africa. Il target geografico, il focus settoriale e le competenze tecniche del gruppo, insieme all’uso di malware e tattiche, tecniche e procedure (TTP) note agli attori delle minacce cinesi, hanno indotto il settore a ritenere che il gruppo APT sia probabilmente sponsorizzato dallo Stato cinese.
Nell’ultimo anno, questo gruppo ha allargato il proprio obiettivo, aggiungendo anche istituzioni finanziarie ed enti governativi. In questo periodo, sono state identificate diverse connessioni tra l’infrastruttura di GALLIUM ed entità mirate in Afghanistan, Australia, Belgio, Cambogia, Malesia, Mozambico, Filippine, Russia e Vietnam. Soprattutto, si è identificato l’utilizzo da parte del gruppo di un nuovo trojan per l’accesso remoto denominato PingPull a supporto delle sue attività di spionaggio.
PingPull è in grado di sfruttare tre protocolli (ICMP, HTTP(S) e raw TCP) per il comando e il controllo (C2). Sebbene l’uso del tunneling ICMP non sia una tecnica nuova, PingPull utilizza ICMP per rendere più difficile l’individuazione delle proprie comunicazioni C2, poiché poche organizzazioni implementano l’ispezione del traffico ICMP sulle loro reti.
