Le attività attribuite a gruppi di minaccia collegati alla Repubblica Popolare Cinese continuano a mostrare un livello crescente di sofisticazione tecnica e operativa. Le recenti analisi su SprySOCKS e UNC6508 evidenziano due campagne differenti ma accomunate da finalità di intelligence strategica, persistenza a lungo termine e utilizzo di strumenti personalizzati sviluppati per ridurre al minimo le possibilità di rilevamento. Da una parte il gruppo FishMonger, associato all’ecosistema Winnti e al contractor cinese I-SOON, ha introdotto nuove varianti Windows del malware SprySOCKS dotate di capacità kernel-level normalmente riservate a minacce avanzate. Dall’altra il cluster UNC6508 ha compromesso per oltre un anno infrastrutture REDCap appartenenti a organizzazioni di ricerca medica nordamericane, distribuendo il malware INFINITERED per raccogliere credenziali, dati scientifici e informazioni strategiche legate a programmi di difesa, cybersicurezza e intelligenza artificiale. Le due operazioni mostrano come gli attori cinesi stiano investendo contemporaneamente sia nell’accesso persistente ai sistemi governativi sia nell’acquisizione di informazioni tecnologiche e scientifiche ad alto valore.
Cosa leggere
FishMonger porta SprySOCKS da Linux a Windows
Le nuove varianti WIN_DRV e WIN_PLUS rappresentano l’evoluzione Windows del backdoor SprySOCKS, precedentemente osservato soltanto su sistemi Linux. La distribuzione avviene attraverso archivi compressi che contengono componenti apparentemente legittimi, tra cui un eseguibile firmato di ThinPrint, librerie DLL e script batch utilizzati per costruire la catena di esecuzione. Il malware copia i propri file all’interno di directory di sistema come la cartella Fonts di Windows e crea attività pianificate con privilegi SYSTEM per garantire l’esecuzione automatica. L’infezione sfrutta tecniche di DLL side-loading, consentendo a file apparentemente legittimi di caricare componenti malevoli senza generare immediatamente sospetti.
Prima di procedere con l’installazione definitiva, il loader esegue controlli anti-analisi verificando la presenza di sandbox, software di sicurezza e ambienti virtualizzati. Solo dopo queste verifiche viene decifrato il payload principale attraverso algoritmi AES-128, consentendo al malware di operare esclusivamente in ambienti ritenuti sicuri dagli operatori.
La variante WIN_DRV introduce funzionalità rootkit kernel-level
L’elemento più significativo dell’aggiornamento di SprySOCKS riguarda l’introduzione di funzionalità tipiche dei rootkit kernel-mode. La variante WIN_DRV utilizza driver dedicati per nascondere processi, file, chiavi di registro e connessioni di rete. Dopo il caricamento in memoria, il driver RawWNPF crea oggetti di dispositivo personalizzati e gestisce richieste IOCTL utilizzate per controllare il comportamento del sistema operativo.
Attraverso tecniche derivate da framework come InfinityHookPro, il malware intercetta chiamate a funzioni come NtQuerySystemInformation, rimuovendo dall’output qualsiasi riferimento ai processi associati all’infezione. Il risultato è un ambiente in cui strumenti amministrativi e soluzioni di monitoraggio ricevono informazioni alterate, rendendo estremamente difficile individuare i componenti malevoli in esecuzione. Questa capacità di occultamento rappresenta un salto qualitativo significativo rispetto alle precedenti versioni Linux del malware.
Le connessioni di rete vengono nascoste attraverso Windows Filtering Platform
Oltre all’occultamento di processi e file, SprySOCKS WIN_DRV implementa sofisticati meccanismi di evasione del monitoraggio di rete. Il malware intercetta le routine di completamento dei driver associati a nsiproxy.sys e utilizza componenti di Windows Filtering Platform per deviare il traffico TCP verso porte casuali. In questo modo il backdoor può ricevere connessioni in ingresso senza esporre direttamente la porta di ascolto reale.
L’approccio elimina la necessità di utilizzare indirizzi C2 hardcoded e rende molto più complesso il rilevamento tramite strumenti di network monitoring. Anche le chiavi di persistenza vengono protette attraverso callback sul registro di sistema che nascondono modifiche critiche all’interno di Image File Execution Options, impedendo agli amministratori di visualizzare facilmente i meccanismi utilizzati per mantenere l’accesso al sistema compromesso.
SprySOCKS mantiene una struttura modulare e oltre trenta comandi remoti
Dal punto di vista operativo, le varianti Windows conservano la struttura modulare già osservata nella versione Linux. Il malware supporta oltre trenta differenti comandi di controllo remoto che consentono agli operatori di raccogliere informazioni di sistema, enumerare processi, gestire servizi, eseguire operazioni sui file e trasferire dati verso l’infrastruttura di comando e controllo. Le comunicazioni supportano protocolli TCP, UDP e WebSocket, mantenendo compatibilità con il formato C2 storico della piattaforma. Gli analisti hanno inoltre rilevato l’utilizzo della libreria di networking HP-Socket e delle stesse chiavi di cifratura già osservate nelle versioni precedenti, confermando una continuità evolutiva diretta del malware originario derivato da Trochilus. Le attività osservate tra il 2023 e il 2024 mostrano l’impiego operativo del malware contro organizzazioni governative in Honduras, Taiwan, Thailandia e Pakistan, confermando il valore strategico attribuito a questa piattaforma da parte del gruppo FishMonger.
UNC6508 prende di mira università e istituzioni di ricerca medica
Parallelamente alle attività di FishMonger, il cluster UNC6508 ha sviluppato una campagna di spionaggio di lunga durata contro organizzazioni di ricerca medica e sanitaria del Nord America. Le vittime comprendono università mediche, centri clinici, enti regolatori e strutture sanitarie collegate ad ambienti governativi e militari. L’accesso iniziale è stato ottenuto sfruttando server REDCap esposti su Internet e basati su versioni obsolete del software.
Dopo aver consolidato la presenza negli ambienti compromessi, gli operatori hanno distribuito il malware personalizzato INFINITERED, progettato specificamente per integrarsi nel funzionamento della piattaforma senza interrompere le normali attività degli utenti. L’obiettivo non era la distruzione dei sistemi ma la raccolta silenziosa e continuativa di dati strategici legati alla ricerca scientifica, alla salute pubblica e alle tecnologie emergenti.
INFINITERED sopravvive agli aggiornamenti software
Una delle caratteristiche più avanzate di INFINITERED è la capacità di persistere anche durante le procedure di aggiornamento del software. Il malware intercetta i processi di upgrade di REDCap e modifica automaticamente componenti critici dell’applicazione, inclusi moduli di autenticazione e file associati ai custom hooks. Questa tecnica consente alla minaccia di sopravvivere alle normali attività di manutenzione e aggiornamento che normalmente eliminerebbero malware installati direttamente sui file applicativi.
L’architettura si basa su tre moduli distinti: un componente dedicato all’intercettazione degli aggiornamenti, un raccoglitore di credenziali e un backdoor operativo. Questa separazione delle funzioni aumenta la resilienza dell’infezione e rende più difficile una rimozione completa senza un’analisi approfondita dell’intera piattaforma.
Il malware ruba credenziali e utilizza cookie per il controllo remoto
Il modulo di raccolta credenziali monitora le richieste POST generate durante i login e registra username e password direttamente all’interno del database utilizzato dall’applicazione. Le informazioni vengono cifrate utilizzando routine native dell’ambiente compromesso per ridurre la probabilità di individuazione.
Il componente backdoor si attiva invece durante il caricamento delle pagine REDCap e verifica la presenza di uno specifico cookie HTTP denominato REDCAP-TOKEN. Attraverso questo meccanismo gli operatori possono impartire istruzioni remote senza generare traffico sospetto verso endpoint dedicati. Quando riceve un comando valido, il malware può eseguire shell remote, effettuare upload di file, recuperare credenziali raccolte, eseguire query SQL arbitrarie e manipolare dati direttamente all’interno dell’infrastruttura compromessa.
L’esfiltrazione sfrutta regole email e servizi legittimi
Per trasferire all’esterno le informazioni raccolte, UNC6508 ha utilizzato tecniche particolarmente silenziose. Gli operatori hanno creato regole di conformità email denominate Patroit, progettate per identificare automaticamente messaggi contenenti parole chiave, indirizzi email, numeri telefonici e altre informazioni di interesse. I contenuti selezionati venivano inoltrati in modalità BCC verso account Gmail controllati dagli attaccanti, evitando di generare notifiche visibili agli utenti o agli amministratori.
Dopo aver ottenuto credenziali privilegiate, il gruppo ha eseguito movimento laterale verso sistemi interni sensibili alla ricerca di dati relativi a programmi di intelligenza artificiale, piattaforme cyber offensive, sistemi senza pilota e attività connesse al comando Indo-Pacifico. L’impiego di proxy residenziali, router compromessi e reti di anonimizzazione ha ulteriormente complicato il lavoro di attribuzione e risposta agli incidenti.
Lo spionaggio PRC evolve tra stealth, persistenza e obiettivi strategici
Le attività di SprySOCKS e UNC6508 evidenziano due approcci complementari allo spionaggio cibernetico attribuito alla Repubblica Popolare Cinese. Il gruppo FishMonger investe nello sviluppo di strumenti offensivi avanzati capaci di garantire accesso persistente e occultamento a livello kernel all’interno di reti governative e istituzionali. UNC6508 privilegia invece la compromissione di infrastrutture applicative esposte per raccogliere informazioni strategiche legate alla ricerca scientifica, alla salute pubblica e alle tecnologie emergenti. In entrambi i casi emergono elementi comuni come l’utilizzo di malware personalizzati, l’abuso di servizi e protocolli legittimi, la capacità di mantenere accessi per lunghi periodi e l’attenzione verso dati di elevato valore geopolitico. Per i difensori diventano quindi indicatori critici la presenza di container cifrati in directory di sistema, driver sospetti caricati in memoria, cookie HTTP anomali, modifiche persistenti alle piattaforme REDCap e regole di conformità email non autorizzate, tutti segnali che potrebbero indicare attività riconducibili a campagne di spionaggio avanzato sostenute da attori statali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
