Unit 42 svela TinyRCT, nuovo C# RAT dell’APT cinese CL-STA-1062 contro il settore energetico

🛡️ Executive Summary

• Unit 42 attribuisce il nuovo backdoor TinyRCT al gruppo cinese CL-STA-1062, attivo contro governi e infrastrutture critiche del Sud-est asiatico.
• Il malware sfrutta AppDomainManager Injection, comunica via HTTP cifrato con AES-128 e supporta esecuzione remota, screenshot ed esfiltrazione di file.
• Le organizzazioni dovrebbero monitorare task schedulati anomali, DLL sideloading, traffico HTTP sospetto e applicare controlli avanzati contro tecniche Living-off-the-Land.

I ricercatori di Unit 42 di Palo Alto Networks hanno individuato una nuova famiglia malware denominata TinyRCT, utilizzata dal gruppo di cyberspionaggio di lingua cinese CL-STA-1062 nell’ambito di campagne rivolte contro enti governativi e infrastrutture critiche del Sud-est asiatico. L’attività documentata evidenzia un approccio operativo orientato all’efficienza, nel quale un backdoor relativamente compatto viene integrato con strumenti open source e utility personalizzate per eseguire ricognizione, movimento laterale ed esfiltrazione di informazioni sensibili. Le operazioni osservate dimostrano un interesse crescente verso il settore energetico e confermano come le infrastrutture strategiche della regione continuino a rappresentare uno degli obiettivi principali delle campagne di cyberspionaggio attribuite ad attori riconducibili alla Cina. L’utilizzo di tecniche consolidate ma difficili da rilevare rende TinyRCT una minaccia particolarmente interessante dal punto di vista della threat intelligence.

CL-STA-1062 amplia le operazioni contro governi e infrastrutture critiche

Secondo Unit 42, il gruppo CL-STA-1062 è operativo almeno dal marzo 2022, ma nel corso del 2025 ha intensificato sensibilmente la propria attività ampliando il numero e la tipologia degli obiettivi. Le campagne osservate hanno interessato principalmente amministrazioni governative, enti pubblici e organizzazioni appartenenti al comparto energetico di diversi Paesi del Sud-est asiatico, confermando una chiara finalità di raccolta informativa e cyberspionaggio. Gli analisti hanno documentato operazioni che comprendono compromissione di server, raccolta di documentazione tecnica, furto di database e acquisizione di codice sorgente, oltre a scansioni interne delle reti per individuare ulteriori sistemi vulnerabili. Almeno dieci organizzazioni del settore energetico sarebbero state compromesse tra ottobre e dicembre 2025, evidenziando una campagna prolungata e pianificata piuttosto che una serie di attacchi opportunistici.

TinyRCT è una backdoor leggera progettato per Windows

Il nuovo malware identificato da Unit 42 è un Remote Access Trojan (RAT) sviluppato in C# e destinato ai sistemi Windows. Pur mantenendo dimensioni contenute, TinyRCT incorpora tutte le funzionalità essenziali richieste in un’operazione di accesso remoto persistente. Il malware permette l’esecuzione di comandi arbitrari, l’esplorazione del file system, l’esfiltrazione di documenti, la cattura periodica di screenshot e il download di ulteriori payload distribuiti dagli operatori della campagna. Le comunicazioni con l’infrastruttura di Command and Control (C2) avvengono tramite protocollo HTTP, mentre i dati vengono protetti attraverso crittografia AES-128, rendendo più complessa l’analisi del traffico di rete. La semplicità architetturale del malware costituisce uno dei suoi punti di forza: un codice relativamente ridotto limita infatti il footprint operativo e può contribuire a diminuire le probabilità di rilevamento durante le prime fasi dell’infezione.

La catena di infezione sfrutta DLL sideloading e AppDomainManager Injection

L’infezione osservata da Unit 42 inizia con la distribuzione di un archivio ZIP denominato chrome_setup.zip, progettato per simulare un software legittimo. Al suo interno sono presenti un eseguibile firmato autentico, un file di configurazione manipolato e una DLL malevola. Gli attaccanti sfruttano quindi la tecnica di DLL sideloading insieme al meccanismo di AppDomainManager Injection, che consente di caricare codice arbitrario all’interno di un processo apparentemente affidabile. Questo approccio permette al malware di operare sfruttando applicazioni considerate legittime dal sistema operativo, riducendo la probabilità di essere bloccato dai controlli di sicurezza tradizionali. Una volta eseguito il loader iniziale, il sistema contatta un server di staging dal quale viene scaricato il payload principale, mascherato come il componente PerfWatson2.exe appartenente a Microsoft Visual Studio, ulteriore elemento pensato per confondere analisti e strumenti di rilevamento.

Persistenza e comunicazioni cifrate assicurano il controllo remoto

Dopo il completamento dell’installazione, TinyRCT crea un task schedulato per mantenere la persistenza sul sistema compromesso anche dopo il riavvio del computer. Da quel momento il malware stabilisce comunicazioni periodiche con i server di comando e controllo, ricevendo istruzioni e trasmettendo i dati raccolti attraverso connessioni HTTP cifrate con AES-128. Tra le principali capacità operative figurano l’esecuzione di comandi mediante cmd.exe, il download di nuovi moduli, la raccolta di screenshot, la compressione e cifratura dei file da esfiltrare e perfino un meccanismo di auto-distruzione utilizzabile dagli operatori per eliminare le tracce del malware al termine delle operazioni. La presenza di queste funzionalità rende TinyRCT un backdoor completo pur mantenendo una struttura relativamente semplice rispetto ad altre piattaforme malware più complesse utilizzate dagli attori APT.

TinyRCT opera insieme a strumenti open source e web shell

L’analisi di Unit 42 mostra che TinyRCT non rappresenta l’unico componente dell’arsenale di CL-STA-1062, ma viene impiegato insieme a diversi strumenti ausiliari. Gli operatori utilizzano utility open source, software personalizzati e web shell ASPX per consolidare l’accesso iniziale, effettuare ricognizione delle reti, eseguire movimento laterale e raccogliere informazioni sui sistemi compromessi. Questa strategia consente di limitare lo sviluppo di malware proprietario sfruttando strumenti già disponibili pubblicamente, riducendo tempi e costi operativi. Allo stesso tempo l’utilizzo combinato di software legittimo e componenti personalizzati rende più difficile attribuire rapidamente le attività a uno specifico gruppo e aumenta la flessibilità delle campagne durante le diverse fasi dell’intrusione.

Il settore energetico resta uno degli obiettivi principali

Le campagne attribuite a CL-STA-1062 confermano il crescente interesse dei gruppi di cyberspionaggio cinesi verso il settore energetico del Sud-est asiatico. Le attività osservate comprendono l’esfiltrazione di database, il furto di codice sorgente, la raccolta di documentazione tecnica e la scansione sistematica delle reti interne alla ricerca di ulteriori punti di accesso. L’energia rappresenta un obiettivo strategico perché le informazioni raccolte possono fornire indicazioni preziose sulle infrastrutture nazionali, sulla produzione, sulla distribuzione e sui sistemi di controllo industriale. In un contesto caratterizzato da crescenti tensioni geopolitiche nell’area indo-pacifica, la disponibilità di queste informazioni assume un valore significativo sia dal punto di vista dell’intelligence sia nella preparazione di eventuali future operazioni cyber contro infrastrutture critiche.

TinyRCT conferma l’evoluzione del cyberspionaggio cinese

La scoperta di TinyRCT evidenzia come i gruppi APT riconducibili alla Cina continuino a privilegiare strumenti relativamente semplici ma estremamente efficaci, integrandoli con tecniche consolidate e componenti open source per costruire campagne di lunga durata. Più che sviluppare malware complessi e altamente sofisticati, CL-STA-1062 sembra puntare su una combinazione di basso profilo operativo, persistenza e modularità, riducendo il rischio di rilevamento e aumentando la sostenibilità delle proprie operazioni. Per le organizzazioni governative e gli operatori di infrastrutture critiche, il rapporto di Unit 42 conferma la necessità di monitorare con particolare attenzione tecniche come DLL sideloading, AppDomainManager Injection, creazione anomala di Scheduled Tasks, traffico HTTP cifrato e utilizzo sospetto di componenti apparentemente legittimi, elementi che continuano a rappresentare alcuni degli indicatori più rilevanti nelle moderne campagne di cyberspionaggio.