Si ritiene che un gruppo di minaccia abbia legami con le operazioni informatiche sponsorizzate dallo Stato cinese, identificato come UNC5174, ha lanciato una campagna informatica furtiva e tecnicamente avanzata volta a Linux e Mac OS ambienti.
Secondo una nuova ricerca pubblicato da Sysdig, il gruppo sta utilizzando una forma rivista del malware SNOWLIGHT in combinazione con uno strumento di accesso remoto open source denominato VShell.
Armi open source nello spionaggio moderno
Gli analisti della sicurezza di Sysdig hanno notato che UNC5174 sta distribuendo strategicamente utilità open source per nascondere le sue operazioni e ridurre i costi operativi. Imitando il comportamento degli hacker indipendenti o dei criminali informatici di livello inferiore, il gruppo aumenta la difficoltà di attribuzione dell'attribuzione diretta.
Questo approccio consente loro di operare in un contesto più ampio, ecosistema più rumoroso, rendendoli più difficili da identificare e tracciare. Il rapporto sottolinea inoltre che UNC5174 non era stato attivo pubblicamente per oltre un anno prima che questa campagna riemergesse..
Flusso di attacco e distribuzione di malware
La campagna inizia con l'esecuzione di uno script denominato download_backd.sh. Questo script installa due componenti chiave: uno è associato a una variante SNOWLIGHT modificata (DNSloger), e l'altro è correlato al toolkit di post-sfruttamento Sliver (lavoratore_di_sistema). Questi elementi costituiscono le basi per l'accesso persistente e la comunicazione con un server di controllo remoto.
SNOWLIGHT avvia quindi la distribuzione di VShell, un trojan residente in memoria, richiedendolo all'infrastruttura dell'attaccante. Il payload non viene mai scritto sul disco, consentendogli di bypassare molti meccanismi di rilevamento tradizionali. Una volta attiva, VShell consente agli aggressori di eseguire comandi di sistema, trasferire file, e mantenere l'accesso a lungo termine attraverso canali di comunicazione nascosti come WebSocket.
Minaccia multipiattaforma: Anche macOS è stato preso di mira
Sebbene l'operazione sia rivolta principalmente agli ambienti Linux, le prove suggeriscono che la suite di malware è anche in grado di compromettere i sistemi macOS. In altre parole, questo sembra essere un malware multipiattaforma operazione.
Un esempio include una versione di VShell camuffata da applicazione di autenticazione con marchio Cloudflare. Questa build dannosa è stata caricata su VirusTotal dalla Cina alla fine 2024, indicando la strategia di targeting più ampia della campagna e i componenti di ingegneria sociale.
UNC5174, indicato anche in alcuni resoconti come Uteus o Uetus, ha una storia di sfruttando vulnerabilità software ampiamente utilizzate. Campagne passate documentate da Mandiant, un'azienda di sicurezza informatica di proprietà di Google, ha coinvolto difetti di targeting in Connectwise ScreenConnect e F5 BIG-IP. Queste operazioni hanno utilizzato anche SNOWLIGHT per recuperare malware aggiuntivi come GOHEAVY, uno strumento di tunneling basato su Golang, e GOREVERSE, un'utilità di reverse shell basata su SSH.
L'agenzia nazionale francese per la sicurezza informatica ANSSI ha evidenziato un modello simile in attacchi non correlati che sfruttano le vulnerabilità del Cloud Service Appliance di Ivanti. Vulnerabilità come CVE-2024-8963, CVE-2024-9380, e CVE-2024-8190 sarebbero stati utilizzati in concomitanza con tattiche di intrusione paragonabili a quelle viste nelle operazioni UNC5174. L'ANSSI ha anche notato il frequente utilizzo di strumenti di hacking disponibili al pubblico, compresi i rootkit, come caratteristica chiave di queste campagne.
Rilevate altre attività di hacker cinesi in rete
TeamT5, una società di ricerca sulla sicurezza informatica con sede a Taiwan, attività divulgata in modo indipendente che assomiglia ai metodi UNC5174. Secondo i loro risultati, attaccanti vulnerabilità Ivanti sfruttate per distribuire un nuovo ceppo di malware chiamato SPAWNCHIMERA. Questi incidenti hanno interessato obiettivi in quasi 20 paesi, compresi gli Stati Uniti, Regno Unito, Giappone, Singapore, e nei Paesi Bassi, evidenziando l'ampia portata internazionale di queste operazioni informatiche.
Questa campagna si svolge mentre la tensione tra Cina e Stati Uniti continua a dispiegarsi. Nel mese di febbraio 2025, Le autorità cinesi hanno accusato gli Stati Uniti. National Security Agency (NSA) di aver condotto intrusioni informatiche di massa durante i Giochi asiatici invernali. Secondo il Centro nazionale cinese di risposta alle emergenze per i virus informatici (CVERC), sopra 170,000 gli attacchi sono stati attribuiti agli Stati Uniti. durante una finestra di 20 giorni, con ulteriori incursioni riconducibili ad altre nazioni, tra cui la Germania, Corea del Sud, e Singapore.
I funzionari cinesi hanno espresso una forte condanna, sostenendo che gli attacchi hanno messo in pericolo settori infrastrutturali chiave come la finanza, difesa, e comunicazioni pubbliche. Il Ministero degli Esteri ha avvertito che le intrusioni rischiano anche di compromettere i dati personali dei cittadini cinesi e l'integrità dei sistemi nazionali..
Pensieri conclusive
I ricercatori di Sysdig sottolineano che questo caso evidenzia come gli attori delle minacce avanzate stiano sfruttando sempre più strumenti open source per mascherare le loro affiliazioni. Strumenti come VShell e SNOWLIGHT sono disponibili gratuitamente e ampiamente utilizzati, consentire agli aggressori di eseguire campagne sofisticate sotto le mentite spoglie di normali attività criminali informatiche. Il risultato è una minaccia altamente evasiva che unisce la furtività, flessibilità, e plausibile negabilità.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: