Sommario
Il Threat Intelligence Group di Google ha individuato una campagna di spionaggio PRC-nexus che prende di mira diplomatici in Asia sudorientale e altre entità globali. L’operazione, attribuita al gruppo UNC6384, è stata osservata da marzo 2025 e sfrutta l’hijack dei portali captive per reindirizzare il traffico web e distribuire malware firmati digitalmente. L’attacco combina tecniche adversary-in-the-middle e sofisticate strategie di social engineering, che mimano aggiornamenti software legittimi per ingannare le vittime. I malware impiegati includono STATICPLUGIN, CANONSTAGER e SOGU.SEC, strumenti progettati per raccogliere informazioni sensibili, mantenere accesso persistente ed eseguire comandi remoti.
Attività di spionaggio di UNC6384
Il Threat Intelligence Group di Google ha tracciato la campagna fin dal suo avvio, rilevando un’operatività mirata contro diplomatici e governi. Gli attaccanti hanno compromesso dispositivi edge per posizionarsi nel traffico e dirottare le richieste HTTP verso portali malevoli, dove sfruttano pagine fake che imitano aggiornamenti Adobe o plugin di uso comune. Le connessioni avvengono su HTTPS con certificati validi, aumentando così la credibilità delle pagine fraudolente. Questa strategia riflette un livello crescente di sofisticazione e si allinea con gli interessi strategici della Repubblica Popolare Cinese, mirando alla raccolta di dati diplomatici riservati e al rafforzamento delle operazioni di cyber-espionage.
Metodi e tecniche di attacco
Il gruppo UNC6384 sfrutta i portali captive, intercettando il traffico quando i browser inviano richieste di autenticazione iniziale. Attraverso domini come mediareleaseupdates.com, gli utenti vengono indirizzati a pagine con certificati Let’s Encrypt validi, che visualizzano notifiche di aggiornamento apparentemente legittime. Da qui, le vittime scaricano eseguibili malevoli che attivano una catena multi-stadio con DLL side-loading, hashing API personalizzato e cifratura RC4 in memoria, evitando così l’intercettazione da parte degli antivirus tradizionali. La firma digitale dei file con certificati autentici — come quello emesso da GlobalSign a maggio 2025 per la società Chengdu Nuoxin Times Technology — aggiunge ulteriore legittimità all’operazione.
Dettaglio tecnico: hashing API in CANONSTAGER
Il modulo CANONSTAGER utilizza un sistema di hashing API custom per risolvere le chiamate alle funzioni, memorizzandone gli indirizzi nel Thread Local Storage (TLS). Per l’esecuzione del codice malevolo sfrutta procedure di finestre di Windows e message queue, ottenendo così un’execution indiretta che bypassa i controlli degli EDR. La decrittazione dei payload avviene in memoria con algoritmo RC4, evitando la scrittura su disco e riducendo ulteriormente le tracce forensi. Questa architettura rappresenta un’evoluzione delle tecniche stealth già note in operazioni PRC-nexus.
Malware e strumenti utilizzati
La campagna distribuisce tre principali componenti: STATICPLUGIN, un downloader camuffato da pacchetto Visual C++ Redistributables e firmato digitalmente; CANONSTAGER, che funge da stager in grado di caricare DLL tramite side-loading e attivare il payload successivo; e SOGU.SEC, una variante evoluta della backdoor SOGU, in grado di raccogliere informazioni di sistema, trasferire file ed eseguire comandi remoti tramite connessioni HTTPS verso il C2 166.88.2.90. Le comunicazioni sfruttano user-agent che imitano versioni di Mozilla/Internet Explorer e trasmettono dati crittografati con RC4, un approccio che garantisce persistenza stealth e capacità di esfiltrazione discreta.
Infrastrutture e domini
Le infrastrutture compromesse sono centrali per il successo della campagna. I domini — tra cui mediareleaseupdates.com — sono ospitati su IP come 103.79.120.72, con certificati TLS validi da maggio ad agosto 2025. Il server C2 identificato risponde all’indirizzo 166.88.2.90 e accetta connessioni HTTPS con user-agent falsificati. L’uso di certificati validi e infrastrutture edge compromesse permette agli attaccanti di mantenere un alto livello di credibilità e di scalare le operazioni rapidamente. La rotazione degli IP e dei domini ostacola i tentativi di blocco statico e dimostra l’approccio adattivo tipico delle operazioni PRC.
Raccomandazioni di difesa
Google raccomanda l’attivazione di Enhanced Safe Browsing in Chrome, l’aggiornamento costante dei dispositivi e l’uso di autenticazione a due fattori per proteggere gli account più sensibili. Le organizzazioni dovrebbero integrare sistemi EDR avanzati, monitorare i log di rete per anomalie e formare regolarmente i dipendenti sul riconoscimento di phishing e download sospetti. L’adozione di un modello zero-trust e la collaborazione con vendor di sicurezza per lo scambio di indicatori di compromissione restano essenziali per mitigare i rischi.
Implicazioni geopolitiche
La campagna di UNC6384 evidenzia un salto qualitativo delle operazioni di cyber-espionage attribuite alla Repubblica Popolare Cinese. L’uso di tecniche avanzate di hijacking, certificati validi e tool personalizzati mostra come i threat actor PRC si stiano adattando a contromisure sempre più robuste. Le implicazioni non riguardano solo l’Asia, ma toccano governi e istituzioni globali, con un aumento del rischio per le relazioni diplomatiche e la sicurezza internazionale. Gli esperti avvertono che questa tipologia di campagne diventerà sempre più frequente, consolidando la necessità di strategie difensive coordinate a livello internazionale.
