I ricercatori di Proofpoint hanno appena pubblicato nuovi dettagli sulle minacce che identificano un gruppo hacker allineato allo stato cinese che sta prendendo di mira gli enti diplomatici e i governi europei l’intensificarsi della guerra in Ucraina, utilizzando campagne email dannose per distribuire malware.
L’attore della minaccia in questione, TA416 (AKA RedDelta), è noto per essere allineato allo stato cinese e ha preso di mira l’Europa per diversi anni. Già dal 2020 Proofpoint sta monitorando le sue attività, che sono aumentate bruscamente da quando le truppe russe hanno iniziato ad ammassarsi al confine con l’Ucraina. SI tratta dello stesso gruppo che nel 2020 aveva colpito alcune istituzioni Vaticane oltre alla diocesi cattolica di Hong Kong.
Più recentemente, TA416 ha iniziato a utilizzare un indirizzo email compromesso di un diplomatico di un paese europeo della NATO per colpire gli uffici diplomatici di un altro stato. L’individuo colpito operava nei servizi per rifugiati e immigrati.
Le campagne di TA416 hanno utilizzato bug web per profilare i propri obiettivi prima di distribuire il malware. Questi indicano all’attaccante che l’account preso di mira è valido e la vittima è incline ad aprire le email che utilizzano contenuti di ingegneria sociale. Questo indica una selezione dei target più ragionata da parte di TA416 e potrebbe essere un tentativo di evitare di far rilevare e divulgare pubblicamente i propri strumenti pericolosi.
Le campagne mirate ai governi europei includono link dannosi e documenti esca relativi ai movimenti di frontiera dei rifugiati ucraini, con lo scopo di consegnare alle vittime il malware PlugX, un RAT (Remote Access Trojan) che, una volta installato, può essere utilizzato per controllare la macchina della vittima in modo totale.
I ricercatori di Proofpoint hanno commentato: “L’uso della tecnica di ricognizione dei bug web suggerisce che TA416 sta diventando più attento riguardo agli obiettivi che il gruppo sceglie per distribuire i propri payload malware. Storicamente, il gruppo ha consegnato principalmente URL di bug web con URL malware per confermare la ricezione. Nel 2022, il gruppo ha iniziato a profilare gli utenti prima di consegnare gli URL malware, in quello che potrebbe essere un tentativo di TA416 di evitare di far scoprire e divulgare pubblicamente i propri strumenti pericolosi. Restringendo il proprio raggio d’azione da campagne di phishing estese a obiettivi più mirati, come i governi europei, che si sono già mostrati attivi e disposti ad aprire le email, TA416 aumenta le possibilità di successo“.
