Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una campagna di cyberspionaggio denominata PassiveNeuron, che prende di mira i server Windows di enti governativi, società finanziarie e industriali in Asia, Africa e America Latina. La campagna è stata individuata nel dicembre 2024 ed è proseguita fino ad agosto 2025.
Il modus operandi di PassiveNeuron
Dopo sei mesi di inattività, PassiveNeuron ha ripreso le operazioni, utilizzando tre strumenti principali, due dei quali precedentemente sconosciuti, per ottenere e mantenere l’accesso all’interno delle reti prese di mira.
Gli strumenti sono:
- Neursite, una modular backdoor;
- NeuralExecutor, un sistema basato su .NET;
- Cobalt Strike, un framework di penetration testing spesso utilizzato dai cybercriminali.
La backdoor Neursite è in grado di raccogliere informazioni di sistema, gestire i processi in esecuzione e indirizzare il traffico di rete attraverso host compromessi, consentendo ai cybercriminali di muoversi lateralmente all’interno di una rete. Sono stati rilevati campioni in grado di comunicare sia con server di comando e controllo esterni che con sistemi interni compromessi.
NeuralExecutor è stato progettato per distribuire payload aggiuntivi. L’impianto supporta diversi metodi di comunicazione ed è in grado di caricare ed eseguire assembly .NET ricevuti dal proprio server di comando e controllo.
Da alcuni campioni osservati dal GReAT, è emerso che i nomi delle funzioni sono stati sostituiti con stringhe contenenti caratteri cirillici, introdotti intenzionalmente dagli aggressori. La presenza di questi elementi richiede un’attenta valutazione durante l’attribuzione, poiché potrebbero costituire false tracce volte a depistare le analisi. Sulla base delle tattiche, delle tecniche e delle procedure osservate, Kaspersky ritiene che la campagna sia probabilmente associata a gruppi di hacker di madrelingua cinese. All’inizio del 2024, i ricercatori di Kaspersky avevano già rilevato l’attività di PassiveNeuron e descritto la campagna come altamente sofisticata.
I consigli di Kaspersky
Per evitare attacchi mirati da parte di soggetti noti o sconosciuti come PassiveNeuron, i ricercatori di Kaspersky consigliano di:
- Fornire ai team SOC le più recenti informazioni relative alla threat intelligence (TI).
- Migliorare le competenze del team di sicurezza informatica per affrontare le minacce mirate più recenti attraverso percorsi di formazione online.
- Per il rilevamento degli endpoint, l’analisi e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR.
- Implementare una soluzione di sicurezza aziendale in grado di rilevare tempestivamente le minacce avanzate a livello del network e adottare una protezione essenziale degli endpoint.
- Introdurre corsi di formazione sulla sicurezza e fornire competenze pratiche al proprio team, siccome molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering.
Dichiarazioni
“PassiveNeuron si distingue per la sua abilità nel compromettere i server, che spesso rappresentano la base delle reti aziendali”, ha affermato Georgy Kucherin, Security Researcher del GReAT. “I server esposti alla rete Internet sono obiettivi molto ambiti dai gruppi APT (Advanced Persistent Threat), poiché un singolo host compromesso può fornire l’accesso a sistemi critici. È quindi essenziale ridurre al minimo le superfici di attacco correlate e monitorare costantemente le applicazioni server per rilevare e bloccare potenziali attacchi”.
