Nel 2023 emerse un gruppo APT identificato come Jewelbug che condusse campagne prolungate di spionaggio informatico contro organizzazioni in Sud America, Sudest Asia, Taiwan e, più recentemente, la Russia. Le intrusioni mostrano un mix di malware custom, abuso di tool legittimi e tecniche di living off the land finalizzate a mantenere una presenza stealthy sui network compromessi. I vettori iniziali includono sfruttamento di vulnerabilità nei server IIS e deploy di webshell, mentre la catena di comando e controllo si avvale di canali difficili da tracciare come Microsoft Graph API, servizi cloud e tunnel DNS/ICMP. L’analisi degli artefatti e dei campioni rilevati indica una progressiva maturazione del toolset, con backdoor modulari (Finaldraft/Squidoor), loader in-memory (Pathloader, Guidloader) e meccanismi di esfiltrazione che sfruttano provider cloud e servizi di file sharing, segnando uno spostamento strategico nelle priorità operative del gruppo.
Cosa leggere
Origine, alias e timeline operativa
Jewelbug opera con molteplici alias noti negli intelligence feed, tra cui REF7707, CL-STA-0049 e Earth Alux. L’attività attribuita al gruppo parte dalla metà del 2023, quando comparvero i primi binari associati su piattaforme di analisi malware. Nel corso del 2024-2025 l’attore ha ampliato la superficie di attacco, eseguendo campagne prolungate contro provider IT e aziende software in Asia e Sud America e, per la prima volta documentata, intrusione contro un provider IT con clienti russi tra gennaio e maggio 2025. Questa timeline mostra campagne con persistence di mesi, uso reiterato di tecniche di sideloading DLL, scheduled tasks per mantenere l’accesso e fasi di discovery ed escalation mirate a compromettere catene di fornitura software.
Vettori di accesso e fase iniziale delle intrusioni
L’accesso iniziale è frequentemente associato allo sfruttamento di vulnerabilità in server IIS e al deploy di webshell che forniscono foothold su host esposti. Da questi punti di ingresso Jewelbug imposta catene operative basate su file legittimi rinominati e su esecuzione di componenti firmati Microsoft o strumenti di debug usati per la stealth. Esempi pratici includono il rinominare un CDB tool in 7zup.exe per aggirare whitelist applicative e l’uso di binari come cyglaunch.exe o vmwarebase.dll per sideloading. Questi pattern evidenziano una preferenza per l’uso di eseguibili benigni come vettore per payload malevoli, riducendo il rumore e complicando l’individuazione.
Toolset e malware custom
Il core del toolset include più componenti specializzati. Finaldraft, rinominato anche Squidoor in alcune analisi, agisce come backdoor modulare per remote administration, capacità di proxy del traffico e supporto multi-piattaforma Windows/Linux. Finaldraft accetta moduli add-on e registra attività in percorsi nascosti come C:\Users\Public\Libraries, generando logging che indica tentativi di upload a OneDrive e altre azioni di test in sviluppo. Pathloader e Guidloader implementano il download di shellcode crittografato e l’esecuzione in-memory, riducendo l’impronta su disco. ShadowPad è stato osservato come payload in alcune intrusioni, segnale di convergenza con tool noti usati da attori con capability avanzate. I loader e le backdoor mostrano capacità di comunicazione tramite Microsoft Graph API, OneDrive, DNS tunnelling, ICMP tunnelling e servizi CDN/edge per ridurre la tracciabilità.
Tecniche di movimento laterale, escalation e persistenza
Dalla fase di foothold il gruppo sfrutta strumenti pubblici e dual-use per discovery e movimento laterale: comandi di sistema come systeminfo, tasklist, netstat e strumenti come SMBExec, SCCMVNC.exe e Fast Reverse Proxy consentono l’accesso a sistemi interni e la pubblicazione di servizi locali verso l’esterno. Le escalation di privilegi passano attraverso dump di LSASS, uso di Mimikatz e exploit di driver (ad esempio tecniche BYOVD come l’abuso di EchoDrv ed EchoAc), oltre a gadget noti come PrintNotifyPotato, Coerced Potato e Sweet Potato. Per la persistenza Jewelbug crea scheduled tasks con privilegi SYSTEM e sfrutta sideloading DLL tramite eseguibili legittimi ricollocati nei percorsi di sistema, oltre a operazioni di cleanup sui log (wevtutil cl …) per ostacolare il rilevamento retrospettivo.
Comunicazione e esfiltrazione dati
La comunicazione C2 mostra approcci diversificati: l’uso di Microsoft Graph API e di OneDrive come canale di comando e controllo è una modalità che minimizza la probabilità di blocco, sfruttando infrastrutture su cui molte organizzazioni non impongono filtri restrittivi. In altri casi si osservano strumenti come Yandex2.exe per upload su Yandex Cloud, curl verso endpoint distribuiti, e tunnelling tramite DNS e ICMP per trasferimenti più stealth. I metodi di esfiltrazione includono BITSAdmin, scheduled transfers, SMB uploads e transfert verso cloud provider terzi; i payload di logging nei file di applicazione documentano la raccolta di hostname, IP, versione Windows e altri identificatori macchina prima dell’upload.
Target strategici e implicazioni geopolitiche
Storicamente i bersagli principali di Jewelbug sono stati università, operatori telecom, ministeri governativi e provider IT, con un focus marcato su regioni del Sudest asiatico e Sud America. L’emergere di una campagna contro un provider IT con clienti russi evidenzia uno spostamento significativo nella scelta dei target e nella volontà di colpire entità che, per motivi geopolitici, erano considerate less likely. Questo cambio di rotta si colloca in un contesto post-invasione dell’Ucraina in cui alcune dinamiche geopolitiche hanno favorito una maggiore libertà operativa o una ridefinizione degli obiettivi da parte di alcuni attori cinesi. Il targeting di provider IT espone al rischio supply chain: compromessi su sistemi di aggiornamento o repository di build possono abilitare attacchi a catena che interessano molteplici clienti finali.
Indicatori di compromissione e artefatti osservati
Tra gli IOCs figurano hash di file riconducibili a componenti usati per sideloading, loader e tool di esfiltrazione (es. yandex2.exe, crclient.dll, cygwin1.dll, vmwarebase.dll e altri). Esempi riportati includono hash associati a cyglaunch.exe e cdb.exe rinominati, oltre a sample di payload identificati come atackersexe.zip. Percorsi e file di logging segnalano attività come la creazione di directory nascoste in C:\Users\Public\Libraries e scritture di application.ini con messaggi che tracciano operazioni di upload verso OneDrive. Comportamenti di rete includono contatti con domini che imitano organizzazioni russe e l’uso di indirizzi IP pubblici che servono come relay per payload e comandi.
Modelli operativi e deduzioni sull’attribuzione
L’insieme di tecniche — DLL sideloading, ShadowPad, uso di tool cinesi ricorrenti e pattern di sviluppo del malware — allinea il profilo operativo di Jewelbug a gruppi con base in Cina, confermando la valutazione di origine cinese. L’utilizzo di specifici payload e la scelta di infrastrutture cloud come canali C2 rafforzano questa ipotesi. L’attacco verso entità russe indica tuttavia una flessibilità strategica: attori statuali o sponsorizzati possono aggiornare obiettivi in risposta a opportunità tattiche o priorità politiche mutate.
Impatto operativo e rischi per la supply chain
La compromissione di provider IT e di software vendor espone a rischi significativi: accessi prolungati a repository, possibilità di compromissione di processi di build e sideloading di librerie in update legittimi rendono possibili campagne supply chain con impatti su larga scala. Le intrusioni documentate mostrano exfiltration di codice sorgente, dump di credenziali e potenziali manipolazioni dei flussi di distribuzione software, elementi che richiedono controlli rigorosi su integrità delle build e segmentazione dei privilegi. L’analisi delle campagne attribuite a Jewelbug evidenzia un gruppo con capacità avanzate e una preferenza per operazioni a basso rumore: il mix di backdoor modulari (Finaldraft/Squidoor), loader in-memory (Pathloader, Guidloader), abuso di servizi cloud per C2 e tecniche di sideloading suggerisce un arsenale progettato per persistence, evasione e movimento laterale mirato. La nuova estensione dei target verso la Russia amplifica il rischio strategico per le supply chain e richiede un rafforzamento dei controlli su componenti software, monitoring EDR focalizzato su anomalie di processo (sideloading, creazione di scheduled tasks inconsueti, uso di Graph API da account applicativi) e verifiche forensi su repository e pipeline di rilascio. L’adozione di whitelist applicative basate su integrità, segmentazione rigorosa delle reti e monitoraggio del traffico verso servizi cloud legittimi ma insospettabili si presenta come misura prioritaria per mitigare la minaccia.
