Sommario
L’ecosistema della sicurezza informatica in Cina affronta una delle fasi più critiche degli ultimi anni, con l’emergere di campagne di hacking che puntano a dispositivi SOHO (Small Office/Home Office) e l’identificazione di una nuova covert network, battezzata Orb, usata in attacchi mirati e campagne di sorveglianza digitale. I report pubblicati da SecurityScorecard mettono in luce il modus operandi di attori legati a interessi governativi cinesi, l’ampiezza delle compromissioni e le tecniche di persistence e anonimato che caratterizzano la Lapdogs campaign.
Oltre 1.000 dispositivi SOHO hackerati in Cina: targeting, tecniche e finalità
Secondo le analisi pubblicate, più di 1.000 dispositivi SOHO – tra router domestici, gateway VPN e appliance di piccole aziende – sono stati compromessi in una campagna che fa leva su vulnerabilità note e configurazioni deboli, spesso dovute a password predefinite o firmware non aggiornato. Gli attaccanti, non ancora identificati in modo certo ma ricondotti a gruppi di cyber-spionaggio con interessi cinesi, sfruttano exploit automatizzati per prendere il controllo dei device, creando backdoor persistenti che consentono l’accesso remoto e la raccolta di dati sensibili come traffico di rete, credenziali, informazioni aziendali e dettagli di dispositivi collegati.
Una volta compromessi, i SOHO device diventano nodi di una botnet invisibile, usata sia per attività di esfiltrazione dati che per operazioni di anonymization e proxy chain. Gli incidenti documentati segnalano la presenza di file malevoli in directory di sistema, la modifica di configurazioni DNS e la capacità di aggiornare i payload da remoto, rendendo la rimozione della compromissione particolarmente difficile senza un ripristino completo del firmware. Il targeting è indirizzato sia a utenti domestici che a microimprese, spesso inconsapevoli della presenza della minaccia.
Orb network e Lapdogs campaign: struttura, persistence e intelligence
Il secondo report, firmato SecurityScorecard, svela la presenza di una covert network Orb orchestrata come parte della Lapdogs campaign, una serie di attacchi di cyber-spionaggio che coinvolgono dispositivi compromessi in più paesi e che risulta attribuibile ad attori legati alla Cina. La rete Orb viene utilizzata per mascherare la reale origine del traffico malevolo, fornendo proxy distribuiti attraverso router violati, server VPS, infrastrutture cloud pubbliche e device IoT, creando così una struttura resiliente, decentralizzata e altamente anonima.
Gli operatori della Lapdogs campaign sfruttano la rete Orb per condurre azioni di ricognizione, raccolta di intelligence, attacchi mirati a organizzazioni critiche e campagne di phishing sofisticate, rendendo complessa la tracciabilità delle attività da parte dei team di incident response. Il traffico viene incanalato attraverso layer multipli di proxy, con rotazione dinamica degli endpoint e aggiornamento continuo delle regole di routing. Sono stati rilevati meccanismi di persistence avanzati – tra cui script che ripristinano la compromissione dopo reboot, auto-update del malware e comunicazioni C2 offuscate – che consentono agli attaccanti di mantenere l’accesso alle reti compromesse per lunghi periodi senza detection.
Approfondimento tecnico: difesa SOHO, mitigazione e intelligence sulla rete Orb
La crescita di botnet basate su device SOHO evidenzia la necessità di una maggiore attenzione alla sicurezza degli endpoint domestici e delle piccole aziende, spesso privi di strumenti avanzati di monitoraggio e difesa. La mitigazione passa per l’aggiornamento costante dei firmware, il cambio periodico delle credenziali di default, la segmentazione delle reti e l’adozione di sistemi di intrusion detection capaci di identificare traffico anomalo e tentativi di persistence. Dal punto di vista intelligence, la comprensione delle reti covert come Orb richiede collaborazione tra enti pubblici, vendor di sicurezza e provider cloud, al fine di tracciare infrastrutture malevole, chiudere i nodi compromessi e rendere più difficile l’utilizzo di device legittimi come base per attività di anonymization criminale o statale.
