Attori legati alla Cina mantengono un’attenzione costante verso le organizzazioni che influenzano la politica statunitense, come dimostra il recente compromesso di una ong USA attiva nel tentativo di orientare la politica governativa su questioni internazionali. I ricercatori di sicurezza hanno identificato tattiche, tecniche e procedure (TTP) riconducibili a più gruppi cinesi noti, tra cui Kelp, Space Pirates e il gruppo APT41, considerato uno dei più longevi e sofisticati del panorama dello spionaggio informatico cinese. L’obiettivo dell’attacco è stato quello di stabilire una presenza persistente e furtiva nella rete dell’organizzazione, con accesso mantenuto per diverse settimane nell’aprile 2025. La campagna dimostra un interesse strategico nel monitorare entità capaci di influenzare la politica estera statunitense, in particolare nei rapporti con Pechino.
Cosa leggere
Catena di attacco e ricostruzione tecnica
L’attività inizia il 5 aprile 2025 con una scansione massiva contro un server della ong compromessa. Gli attori testano exploit noti per ottenere accesso iniziale, tra cui Atlassian OGNL Injection (CVE-2022-26134), Log4j (CVE-2021-44228), Apache Struts (CVE-2017-9805) e GoAhead RCE (CVE-2017-17562). Dopo alcuni giorni di inattività apparente, il 16 aprile 2025 si registra una nuova ondata di comandi e connessioni sospette. Gli attaccanti eseguono comandi curl per testare la connettività verso domini noti — come www.google.com, www.microsoft.com, e indirizzi IP interni — segnale di difficoltà nell’accesso a determinati sistemi interni. Successivamente utilizzano netstat per analizzare le connessioni di rete TCP e creare una mappa delle comunicazioni attive. Per garantire la persistenza, creano un task schedulato (\Microsoft\Windows\Ras\Outbound) configurato per eseguire msbuild.exe ogni 60 minuti come utente SYSTEM. Questo componente lancia un file XML malevolo che inietta codice in csc.exe, il compilatore C# di Windows, stabilendo così una connessione a un server di comando e controllo (C&C) localizzato su 38.180.83.166. Segue il caricamento di un loader personalizzato che decritta in memoria un file criptato, presumibilmente un RAT (Remote Access Trojan) destinato al controllo remoto e all’esfiltrazione dei dati.
Tecniche di compromissione e uso di componenti legittimi
Gli attaccanti adottano una delle tecniche più note di APT41, ossia il DLL sideloading: sfruttano un file legittimo di VipreAV (vetysafe.exe) per caricare una DLL malevola (sbamres.dll), una modalità già osservata in attacchi del gruppo Space Pirates e del sottogruppo Earth Longzhi. Quest’ultimo è attivo dal 2020 e prende di mira vittime in Asia e Ucraina, mentre Space Pirates operano dal 2017 con focus su aziende russe e infrastrutture tecnologiche sensibili. La variante di sbamres.dll individuata nella rete della ong americana mostra forti somiglianze con il malware Deed RAT, utilizzato dal gruppo Kelp (Salt Typhoon), noto per i compromessi contro compagnie di telecomunicazioni statunitensi nel 2024, a ridosso delle elezioni presidenziali. Queste intrusioni avevano consentito agli attori cinesi di intercettare comunicazioni di campagne politiche sia democratiche che repubblicane, estendendo le operazioni a decine di paesi europei e asiatici. L’uso combinato di msbuild.exe, vetysafe.exe e sideloading DLL riflette una catena d’attacco multi-stage tipica delle operazioni APT di origine statale: l’obiettivo è evitare il rilevamento, sfruttare binari firmati legittimamente e ottenere privilegi persistenti nel sistema.
Persistenza e tecniche di evasione
Gli aggressori impiegano task schedulati per mantenere accesso anche dopo reboot o aggiornamenti del sistema, assicurandosi che msbuild.exe esegua regolarmente codice malevolo. La persistenza è rafforzata dall’uso di componenti Microsoft legittimi come Imjpuexc.exe, normalmente utilizzato per la gestione dell’input in lingue asiatiche, ma qui usato come veicolo per l’esecuzione stealth di script. Per l’escalation di privilegi e la diffusione laterale, gli attori sfruttano una versione modificata di DCSync, simulando un domain controller per ottenere credenziali utente tramite il protocollo MS-DRSR. I log rivelano messaggi come “DS Replication Epoch is %u” e “ProcessGetNCChangesReply”, coerenti con un tentativo di sincronizzazione non autorizzata del database Active Directory. Queste tecniche consentono di muoversi lateralmente nella rete e di accedere a server sensibili, inclusi i domain controller, con l’obiettivo di ampliare la portata dell’infezione e mantenere accesso furtivo a lungo termine.
Gruppi cinesi coinvolti e legami operativi
Il gruppo APT41, tra i più longevi del panorama cinese, è composto da vari sottogruppi con ruoli complementari: Blackfly, Grayfly, Redfly e Earth Longzhi. Quest’ultimo è noto per campagne in Taiwan, Cina, Thailandia, Malesia, Indonesia, Pakistan e Ucraina, e condivide strumenti con Space Pirates, operativi dal 2017. Il gruppo Kelp (Salt Typhoon) si distingue per attività di spionaggio contro infrastrutture telecom USA e per l’uso del Deed RAT, un malware modulare condiviso da più gruppi cinesi. Gli analisti rilevano una sovrapposizione significativa di tool e TTP, segno di una condivisione strutturata delle risorse offensive tra gruppi statali e contractor privati di Pechino. Questa interconnessione rende difficile l’attribuzione precisa di singoli incidenti, ma rafforza l’ipotesi di coordinamento strategico tra i diversi attori per monitorare organizzazioni statunitensi che influenzano la policy verso la Cina.
Impatto geopolitico e motivazioni strategiche
Il compromesso di una ong americana di alto profilo riflette l’obiettivo di influenzare indirettamente la formulazione della politica estera statunitense. L’operazione rientra nella più ampia strategia di Pechino volta a raccogliere informazioni su opinioni, iniziative e decisioni interne agli ambienti politici USA, soprattutto su temi di sicurezza internazionale e diritti umani. Il fatto che gli attori abbiano mantenuto accesso per settimane senza essere scoperti evidenzia un livello tecnico elevato e un forte investimento in stealth e persistenza. Gli indicatori di compromissione (IOC) condivisi dai ricercatori — tra cui hash SHA256 e percorsi relativi a file come sbamres.dll, vetysafe.exe e imjpuexc.exe — permettono alle difese di rete di identificare attività residue e mitigare ulteriori intrusioni. La cooperazione tra gruppi come Kelp, Space Pirates e APT41 dimostra che la Cina continua a sfruttare reti di intelligence informatica integrate per osservare e influenzare le decisioni politiche occidentali. La scelta di una ong, e non di un’agenzia governativa, suggerisce una strategia indiretta di accesso a canali decisionali e diplomatici secondari, spesso meno protetti ma ugualmente influenti. L’analisi conferma che la campagna attribuita a attori cinesi APT è stata condotta con strumenti noti ma integrati in catene d’attacco raffinate, caratterizzate da uso di binari firmati, caricamento di DLL malevole, tecniche DCSync e attività di rete furtive. La capacità di mantenere accesso per settimane a una ong con legami governativi mostra un interesse mirato verso il controllo delle narrative politiche e la raccolta di intelligence strategica. Le difese più efficaci restano l’aggiornamento costante delle patch, la segmentazione dei domain controller, e l’analisi comportamentale dei processi Microsoft legittimi che mostrano anomalie nell’esecuzione.
