Sommario
La NSA e un fronte di agenzie alleate hanno pubblicato una Cybersecurity Advisory congiunta, datata 27 agosto 2025, per contrastare i cyberattacchi di attori statali della Repubblica Popolare Cinese. Il documento affronta minacce APT che prendono di mira infrastrutture critiche a livello globale, tra cui telecomunicazioni, enti governativi, trasporti, alloggi e comparti militari. La guida descrive tattiche, tecniche e procedure impiegate per accesso iniziale, persistenza, raccolta ed esfiltrazione dei dati, fornendo indicatori di compromissione e un catalogo delle vulnerabilità più sfruttate. L’avviso nasce dalla collaborazione fra NSA, CISA e FBI con i partner di Australia, Canada, Nuova Zelanda, Regno Unito, Repubblica Ceca, Finlandia, Germania, Italia, Giappone, Paesi Bassi, Polonia e Spagna. Gli analisti segnalano sovrapposizioni con cluster osservati come Salt Typhoon e chiamano in causa società cinesi quali Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co. Ltd. e Sichuan Zhixin Ruijie Network Technology Co. Ltd., ritenute abilitatrici di servizi cyber per il Ministero della Sicurezza di Stato e per l’Esercito di Liberazione Popolare. La guida offre indicatori operativi immediatamente utilizzabili per individuare attività sconosciute e invita i difensori a condividere tempestivamente le evidenze con le autorità, per migliorare l’attribuzione degli accessi iniziali e ridurre la dwell time degli avversari.
Accesso iniziale: dispositivi edge e protocolli di gestione
Gli attori statali PRC sfruttano vulnerabilità note su apparati di frontiera come router e firewall, dove il controllo è spesso meno rigoroso. Gli exploit ricorrenti coinvolgono CVE-2024-21887 su Ivanti, CVE-2024-3400 su Palo Alto, CVE-2023-20273 e CVE-2023-20198 su Cisco IOS XE, oltre alla storica CVE-2018-0171. Le intrusioni si appoggiano a VPS e a router compromessi usati come trampolini per colpire operatori di telecomunicazioni e fornitori internet. Gli avversari alterano routing e policy di monitoraggio per attivare mirroring del traffico tramite SPAN/ERSPAN e instradano i flussi verso tunnel GRE/IPsec funzionali all’esfiltrazione a bassa rumorosità. Il pivot prosegue attraverso connessioni fidate e domini interni, con attenzione ai protocolli di autenticazione come TACACS+ e RADIUS. La ricognizione include enumerazione MIB via SNMP, mappatura delle interfacce e individuazione di liste di controllo accesso da manipolare. La convergenza con i profili di Salt Typhoon conferma campagne in corso dal 2021, orientate a spionaggio industriale e raccolta credenziali in reti ad alta criticità. La scelta di porte non standard per SSH e HTTP e l’uso di contenitori Guest Shell su Cisco IOS XE facilitano lo staging di strumenti e lo spostamento laterale, con script Tcl come TCLproxy.tcl e map.tcl impiegati per automazione e persistenza. L’indicazione operativa è una sola: patching immediato e monitoraggio delle variazioni di configurazione come canale privilegiato per scoprire l’accesso iniziale.
Persistenza: ACL, chiavi SSH e living-off-the-land
La persistenza si regge su modifiche mirate alle ACL denominate “access-list 20”, “50” o “10”, con apertura di porte non standard per SSH e HTTPS, spesso accompagnata dall’installazione di chiavi SSH. Gli operatori verificano sandbox ed emulatori, terminando i processi quando rilevano strumenti di analisi. La catena offensiva impiega packer custom per offuscare il codice, hijack COM su CLSID selezionati e script .sct in Base64 eseguiti su trigger Explorer. Il payload è adattivo: seleziona shellcode per architettura, ricorre a reflection per l’esecuzione in memoria ed evita l’impronta su disco. La manipolazione dei server TACACS+ consente bypass delle policy, mentre SNMP fornisce un canale per enumerazioni e alterazioni di basso profilo. Tra gli indicatori host-level emergono file PCAP dal nome prevedibile, come “mycap.pcap” o “tac.pcap”, e la presenza di SSH su TCP/57722 in ambienti IOS XR. La sorveglianza delle chiamate “guestshell enable”, la rilevazione di VRF inattesi attraverso “chvrf” o “dohost” e i controlli su account non root costituiscono segnali di persistenza silente. Gli attori aggirano gli EDR con iniezioni e unhooking API, mantenendo beacon periodici a bassa frequenza e C2 adattivi. Le misure consigliate includono isolamento rigoroso del piano di gestione e blocco delle connessioni in uscita dai segmenti management, con rotazione delle credenziali e hardening dei servizi esposti.
Raccolta dati: cattura dei flussi e abuso di protocolli
La raccolta dell’informazione privilegia i protocolli di autenticazione, i flussi credenziali e i servizi di rete ad alto valore. Gli operatori avviano catture PCAP con strumenti nativi come Cisco Embedded Packet Capture, salvando file con nomi di comodo quali “mycap.pcap” e “tac.pcap” per TCP/49 dedicato a TACACS+. Le configurazioni TACACS+ vengono ridefinite verso IP controllati dagli avversari; in parallelo, SNMP serve a interrogare MIB e interfacce per mappare domini, ACL e servizi. La ricognizione attiva su peering e trust interdominio prepara il terreno allo spostamento laterale, mentre canali C2 separati gestiscono in modo distinto comando ed esfiltrazione. La presenza di MPLS, GRE e IPsec su dorsali ad alto throughput maschera l’estrazione in contesti rumorosi. Le raccomandazioni enfatizzano syslog a livello “informational”, inoltro cifrato verso server centrali, AAA per l’accounting dei comandi privilegiati e monitoraggio SNMP SET come trappola di manomissione.
Esfiltrazione: tunnel, mimetismo HTTP e infrastruttura C2
La fase di esfiltrazione sfrutta connessioni fidate e modifiche al routing per attivare mirroring e inoltrare il traffico verso tunnel cifrati. VPS e router compromessi fungono da nodi di staging, mentre i PCAP e i dump credenziali transitano su HTTPS mimetico. Le comunicazioni C2 adottano user-agent comuni come Mozilla/IE, impiegano cifrari agili come RC4 e caricamenti in memoria per ridurre gli artifact. Gli operatori occultano funzioni nel contesto TLS, orchestrano message queue per i comandi, e gestiscono DGA per domini C2 dinamici. Tra gli IOC spiccano IP dedicati come 166.88.2.90, pattern DNS TXT compatibili con tunneling e comportamenti HTTP fuori baseline. Le contromisure includono autenticazione del routing, validazione delle statiche, limiti ai prefissi BGP, policy IKE non di default e cifrature forti come AES-256 e SHA-384 per le VPN, riducendo le finestre adatte all’esfiltrazione stealth.
Rilevazione e caccia: segnali di basso profilo
La guida privilegia una caccia proattiva basata su telemetrie di configurazione e indicatori di basso profilo. Le priorità operative comprendono il controllo dei contenitori come Guest Shell, l’integrità del firmware, la verifica dei tunnel e la tracciatura dei comandi che avviano PCAP o SPAN/ERSPAN. L’uso di porte non standard per SSH, la comparsa di file PCAP inattesi e le VRF anomale compongono un quadro indiziario che, in presenza di packer multilivello e anti-debug (ad esempio basati su RDTSC), richiede correlazioni multi-sorgente. L’integrazione di DNSSEC, la riduzione dei canali in chiaro, la rimozione di Telnet e l’adozione di ciphers robusti creano barriere preventive, mentre CoPP assicura policing sul control-plane. L’orientamento è threat-informed, con IOA e IOC messi in relazione a tattiche MITRE ATT&CK per priorizzare le indagini.
Mitigazione: hardening del piano di gestione e patching urgente
Le strategie di mitigazione ruotano attorno a patching prioritario delle CVE sfruttate, change management con focus su diff log, disabilitazione delle uscite dai segmenti management e rotazione delle credenziali. L’impiego di protocolli cifrati per amministrazione, la chiusura delle porte inutilizzate e l’isolamento del piano di gestione limitano la superficie d’attacco. In ambito Cisco, la guida richiama la disabilitazione di Smart Install, il deprovisioning di Guest Shell non necessari e il rafforzamento AAA per contenere i privilegi. La telemetria centralizzata via IPsec o TLS e il syslog informativo abilitano una rilevazione precoce delle deviazioni, mentre SNMPv3 con authPriv e monitoraggio dei SET chiudono i varchi alle manomissioni silenti. L’autenticazione del routing, il controllo delle statiche, il rate-limit dei prefissi BGP e la rimozione delle policy IKE di default con suite crittografiche forti rappresentano una difesa a strati contro esfiltrazione e movimenti laterali.
Cooperazione internazionale: un quadro operativo condiviso
Il valore della CSA risiede nella coerenza operativa fra Stati con infrastrutture eterogenee. Negli Stati Uniti convergono NSA, CISA, FBI e DC3; dall’Australia partecipa ASD/ACSC; dal Canada il Cyber Centre e CSIS; dalla Nuova Zelanda il NCSC-NZ; dal Regno Unito il NCSC-UK; dalla Repubblica Ceca NÚKIB; dalla Finlandia SUPO; dalla Germania BND, BfV e BSI; dall’Italia AISE e AISI; dal Giappone NCO e NPA; dai Paesi Bassi MIVD e AIVD; dalla Polonia SKW e AW; dalla Spagna il CNI. La condivisione di intelligence e di indicatori operativi rafforza la resilienza collettiva contro APT PRC e consente allineamento tattico nelle risposte agli incidenti.
Indicatori di compromissione: pattern ripetibili e anomalie
La guida elenca IOC che favoriscono un rilevamento a basso costo con impatto elevato. Si registrano ACL con nomenclature prevedibili come “access-list 20”, porte SSH non standard riconducibili a pattern tipo 22×22, endpoint HTTP su intervalli 18xxx, file PCAP con nomi “mycap.pcap” e “tac.pcap”, comandi Guest Shell come “guestshell enable”, VRF anomale identificate con “chvrf” o “dohost”, SSH su TCP/57722 con account non root, indirizzi C2 come 166.88.2.90, user-agent Mozilla/IE e script Tcl quali TCLproxy.tcl e map.tcl. L’uso sistematico di questi segnali in caccia guidata consente di anticipare gli avversari e ridurre l’impatto delle loro operazioni. La tecnica Guest Shell su Cisco IOS XE appare centrale nello staging clandestino degli strumenti. L’attivazione tramite “guestshell enable” e l’esecuzione con “run guestshell” offrono una shell isolata ma vicina all’hardware, con possibilità di avviare script python, netcat e tool di rete per esfiltrazione e pivot. Il contesto isolato riduce gli artifact su disco, spostando l’impronta in memoria; per questo la guida suggerisce disabilitazione proattiva dei Guest Shell non necessari, vincoli AAA stringenti, tracciatura dei comandi “guestshell” nei log e segmentazione VRF dedicata al management. L’analisi comportamentale delle invocazioni e dei processi collegati permette di intercettare l’uso malevolo prima della fase di esfiltrazione, elevando la probabilità di contenimento.
