Le attività di spionaggio cinesi dell’Operazione Crimson Palace si estendono attraverso il Sudest Asiatico

I gruppi di hacker statali sono passati all’utilizzo di strumenti open source

Sophos scopre un nuovo keylogger denominato “Tattletale”

 

Sophos, leader mondiale nell’innovazione delle soluzioni di sicurezza avanzate per neutralizzare i cyberattacchi, ha pubblicato oggi un nuovo report intitolato “Crimson Palace: New Tools, Tactics, Targets” che esamina gli ultimi sviluppi di una campagna di cyberspionaggio cinese attiva da quasi due anni nel Sudest asiatico. Sophos X-Ops ha rilasciato le prime informazioni su quella che è stata ribattezzata Operazione Crimson Palace lo scorso giugno fornendo i dettagli relativi a tre differenti cluster di attività condotte da entità statali cinesi – Cluster Alpha, Cluster Bravo e Cluster Charlie – all’interno di un’organizzazione governativa di alto profilo. Dopo una breve pausa avvenuta nell’agosto 2023, Sophos X-Ops ha notato una ripartenza delle attività di Cluster Bravo e Cluster Charlie sia all’interno dell’azienda presa di mira inizialmente, sia in numerose altre aziende presenti nella stessa regione.

Nell’investigare questo riavvio delle attività, Sophos X-Ops ha scoperto un nuovo keylogger ribattezzato dai ricercatori “Tattletale” che è in grado di impersonare gli utenti presenti all’interno di un sistema e raccogliere informazioni associate alle policy delle password, alle impostazioni della sicurezza, alle password memorizzate in cache, alle informazioni dei browser e ai dati memorizzati nello storage. Sophos X-Ops fa notare nel report come, a differenza della prima fase dell’operazione, Cluster Charlie sia passato a usare sempre più spesso tool open source al posto del malware custom sviluppato nella parte iniziale delle sue attività.

 

“Stiamo giocando una partita a scacchi con questi avversari. Nelle fasi iniziali dell’operazione, Cluster Charlie utilizzava vari tool e malware creati su misura”, ricorda Paul Jaramillo, Director, Threat Hunting and Threat Intelligence di Sophos. “Tuttavia, siamo riusciti a neutralizzare buona parte della loro infrastruttura precedente bloccandone i tool C2C (Command and Control) e costringendoli a cambiare strategia. È stato un buon risultato, per quanto il loro passaggio ai tool open source dimostri la velocità con cui questi gruppi riescono ad adattarsi per restare in gioco. Sembra che si tratti di una tendenza emergente tra i gruppi statali cinesi. Per la comunità di specialisti che lavora per proteggere i sistemi più sensibili da attaccanti del genere, è importante condividere gli insight raccolti in occasione di questo cambio di strategia”.

 

Cluster Charlie, che condivide le tattiche, tecniche e procedure (TTP) del gruppo cinese Earth Longzhi, è stato originariamente attivo da marzo ad agosto 2023 all’interno di un’organizzazione governativa di alto livello del Sudest asiatico. Dopo essere rimasto dormiente per alcune settimane, è riemerso nel settembre 2023 restando nuovamente attivo almeno fino a maggio 2024. Nella seconda fase della campagna, Cluster Charlie si è dedicato a penetrare più in profondità nella rete aggirando i tool EDR (Endpoint Detection and Response) e raccogliendo ulteriore intelligence. Oltre a passare a strumenti open source, Cluster Charlie ha anche iniziato ad adottare tattiche implementate inizialmente da Cluster Alpha e Cluster Bravo, il che suggerisce che tutti questi tre cluster di attività siano diretti dalla medesima organizzazione sovrastante. Sophos X-Ops ha intercettato le attività di Cluster Charlie in numerose altre realtà del Sudest asiatico.

Cluster Bravo, che impiega le stesse TTP del gruppo cinese Unfading Sea Haze, in origine è stato attivo sulla rete colpita solo per tre settimane nel marzo 2023. Questo cluster è poi riapparso nel gennaio 2024 all’interno di almeno altre 11 aziende e agenzie della stessa regione.

 

“Non solo tutti i tre cluster ‘Crimson Palace’ perfezionano e coordinano le rispettive tattiche, ma stanno anche ampliando le loro operazioni per cercare di infiltrarsi in ulteriori obiettivi attraverso il Sudest asiatico. Considerando la frequenza con cui i gruppi statali cinesi condividono infrastrutture e tool, e il fatto che Cluster Bravo e Cluster Charlie stanno allargandosi oltre il loro obiettivo originale, è probabile che questa campagna continui a evolvere colpendo possibilmente nuovi territori. La terremo sotto stretto controllo”, ha concluso Jaramillo.

 

Per saperne di più: “Crimson Palace: Nuovi strumenti, tattiche e obiettivi” su Sophos.com.

Per maggiori dettagli sulla caccia alle minacce e su altri servizi di Sophos per interrompere i cyberattacchi, visitate il sito Sophos Managed Detection and Response (MDR).

Per uno sguardo approfondito sulla caccia alle minacce dietro questa campagna di spionaggio informatico durata quasi due anni, registratevi al prossimo webinar “Intrigue of the Hunt: Operazione Crimson Palace: Unveiling a Multi-Headed State-Sponsored Campaign” il 24 settembre alle 14:00 https://events.sophos.com/operation-crimson-palace/.