Sommario
Tra i gruppi di attori malevoli che emergono con crescente impatto operativo figura Earth Alux, una campagna di cyberspionaggio altamente sofisticata identificata da Trend Micro. Il gruppo sfrutta un arsenale di strumenti su misura per compromettere ambienti strategici appartenenti a settori critici in Asia-Pacifico e, più recentemente, anche in America Latina.
La strategia d’attacco e gli obiettivi di Earth Alux nel cyberspionaggio
Il gruppo Earth Alux si concentra su settori di alto valore informativo e strategico, selezionati per la loro rilevanza geopolitica, economica e tecnologica. Tra le industrie maggiormente colpite figurano il comparto governativo, quello tecnologico, la logistica, la produzione industriale, le telecomunicazioni, i servizi IT e il retail. Questa selezione riflette l’intento del gruppo di accedere a dati sensibili, tecnologie proprietarie e infrastrutture critiche. Le attività malevole del gruppo si concentrano prevalentemente nella regione APAC, colpendo Paesi come Thailandia, Filippine, Malesia e Taiwan. A partire dalla metà del 2024, Earth Alux ha esteso le proprie operazioni anche al Brasile, segnando un’importante transizione geografica verso il continente sudamericano.
VARGEIT, COBEACON e gli strumenti dell’infiltrazione digitale avanzata
Il cuore operativo della campagna Earth Alux è rappresentato da un toolkit articolato, basato su malware progettati per eludere i sistemi di rilevamento e ottenere una presenza persistente nei sistemi target. Il backdoor denominato VARGEIT costituisce la componente principale, affiancato da ulteriori strumenti come COBEACON. Questi malware operano in modo modulare e sono caricati attraverso metodi sofisticati che sfruttano tecniche di caricamento laterale delle librerie, file dropper, loader specializzati e abusi di strumenti di sistema legittimi.
Il funzionamento di VARGEIT prevede l’iniezione di codice in processi legittimi, l’ottenimento di privilegi elevati attraverso l’escalation e la capacità di stabilire connessioni C2 (Command and Control) criptate per il trasferimento sicuro di dati esfiltrati e il download di ulteriori payload malevoli. COBEACON viene impiegato per rafforzare la persistenza e per eseguire attività di comando remoto sui dispositivi infetti, mantenendo il controllo anche in ambienti fortemente segmentati.
VirTest e la personalizzazione degli attacchi contro software di sicurezza
Una delle peculiarità dell’infrastruttura operativa di Earth Alux è l’utilizzo di VirTest, uno strumento interno impiegato per testare e modificare i codici dei propri malware allo scopo di evitare il rilevamento da parte di antivirus e sistemi EDR (Endpoint Detection and Response). VirTest consente agli sviluppatori del gruppo di individuare le porzioni di codice che generano segnalazioni durante l’analisi statica e dinamica e di intervenire con modifiche precise, aumentando l’efficacia del malware nelle sue fasi di diffusione.
La disponibilità di strumenti come VirTest evidenzia non solo la maturità tecnica del gruppo, ma anche la natura industrializzata e iterativa del proprio ciclo di sviluppo, simile a quello di un’impresa tecnologica in ambito legale.
L’espansione in America Latina e la minaccia globale
Il passaggio strategico verso l’America Latina segna un’estensione significativa del raggio operativo di Earth Alux. In Brasile sono stati segnalati diversi attacchi che rispecchiano le modalità già osservate nella regione asiatica, con infezioni silenziose e campagne mirate che hanno coinvolto sia enti pubblici sia realtà private. La scelta di espandersi verso nuove aree geografiche suggerisce una crescente ambizione da parte del gruppo di consolidare una rete globale di spionaggio informatico, sfruttando lacune locali nella gestione della sicurezza informatica.
Analisi comportamentale e persistenza invisibile nei sistemi compromessi
Il successo operativo di Earth Alux dipende anche dall’impiego di tecniche comportamentali per eludere i sistemi di protezione avanzata. Il gruppo dimostra una conoscenza approfondita dei meccanismi di analisi dei malware, adottando strategie di offuscamento, crittografia delle comunicazioni, utilizzo di comandi nativi dei sistemi operativi e mimetizzazione delle attività all’interno di processi comuni. Questo approccio permette al malware di rimanere attivo per periodi prolungati senza sollevare sospetti evidenti tra gli amministratori di rete o i software di sicurezza automatizzati.
L’importanza della detection proattiva nei confronti di attori APT
Gli attacchi condotti da Earth Alux si inseriscono all’interno della categoria degli Advanced Persistent Threats (APT), minacce che si distinguono per l’intenzionalità e la lunga durata delle loro operazioni. Per fronteggiare efficacemente tali minacce, è essenziale adottare un modello di sicurezza proattiva, basato su strategie integrate di prevenzione, rilevamento e risposta.
Secondo le raccomandazioni di Trend Micro, è fondamentale mantenere aggiornati i sistemi attraverso patch tempestive, effettuare un monitoraggio continuo del traffico e delle performance di rete, e affidarsi a soluzioni capaci di offrire una visione olistica del panorama delle minacce.
