APT cinesi sfruttano ToolShell e compromettono telecomunicazioni e agenzie governative

di Livio Varriale
0 commenti

Un’ampia operazione di cyberespionaggio condotta da gruppi APT cinesi ha sfruttato la vulnerabilità ToolShell (CVE-2025-53770) per violare server Microsoft SharePoint e compromettere infrastrutture critiche in diversi continenti. L’attacco ha coinvolto compagnie di telecomunicazioni, agenzie governative e istituzioni accademiche, segnando una delle campagne più sofisticate e coordinate dell’anno. La vulnerabilità, corretta da Microsoft nel luglio 2025, ha permesso esecuzione di codice remoto non autenticato e accesso completo al file system, con gli attaccanti che hanno colpito solo due giorni dopo il rilascio della patch, dimostrando capacità di analisi e rapidità operative straordinarie.

La vulnerabilità ToolShell e la sua pericolosità

La falla CVE-2025-53770 colpisce i server SharePoint on-premise, consentendo a un utente remoto di eseguire codice arbitrario senza autenticazione. Ciò offre un accesso diretto ai contenuti archiviati e al file system, aprendo la strada a operazioni di spionaggio e sabotaggio su larga scala. Microsoft ha confermato che la vulnerabilità è stata sfruttata da più gruppi di matrice cinese, tra cui Budworm (Linen Typhoon), Sheathminer (Violet Typhoon) e Storm-2603, con finalità differenti che spaziano dal furto di dati sensibili all’uso di ransomware come diversivo. La presenza di vulnerabilità correlate, come CVE-2025-49704 e CVE-2025-53771, ha reso ancora più complesso il panorama difensivo. La prima consente esecuzione di codice remoto, mentre la seconda introduce una condizione di path traversal in grado di permettere lo spoofing di autenticazione. L’interazione fra queste falle ha moltiplicato le possibilità di sfruttamento, offrendo ai gruppi APT un vettore d’ingresso multiplo e difficilmente rilevabile.

La cronologia degli attacchi e le prime compromissioni

Gli attacchi documentati hanno avuto inizio il 21 luglio 2025, quando una compagnia di telecomunicazioni in Medio Oriente è stata violata tramite l’installazione di una web shell su SharePoint. Da quel punto, gli aggressori hanno caricato ZingDoor, una backdoor HTTP scritta in Go, già nota per essere parte dell’arsenale del gruppo Glowworm. Questa backdoor consente agli attori malevoli di raccogliere informazioni di sistema, trasferire file, eseguire comandi remoti e mantenere un accesso persistente nel tempo. L’uso di ZingDoor ha rappresentato il primo segnale della presenza di Glowworm, ma le analisi successive hanno evidenziato la collaborazione di altri gruppi connessi. È emerso infatti l’utilizzo di ShadowPad, un trojan modulare tra i più potenti e diffusi nell’ecosistema APT cinese. Il malware è stato installato tramite una tecnica di DLL sideloading che sfrutta binari legittimi di BitDefender per mascherare l’attività malevola. Il caricamento interamente in memoria, senza scrittura su disco, ha reso il codice praticamente invisibile ai tradizionali strumenti di difesa.

L’introduzione di KrustyLoader e l’uso di linguaggi moderni

Il 25 luglio 2025 la campagna si è evoluta con la comparsa di KrustyLoader, un loader sviluppato in linguaggio Rust e collegato al gruppo UNC5221, anch’esso con base in Cina. Questo componente si distingue per la capacità di aggirare ambienti sandbox, replicarsi autonomamente e cancellare ogni traccia dopo l’esecuzione. KrustyLoader decripta e scarica altri moduli, tra cui il framework Sliver, utilizzato per stabilire comunicazioni cifrate e gestire i server di comando e controllo. L’adozione di linguaggi moderni come Rust e Go rappresenta una tendenza strategica nel cyberespionaggio cinese. Questi linguaggi permettono maggiore offuscamento del codice e compatibilità multipiattaforma, rendendo l’analisi forense più complessa. L’impiego simultaneo di ZingDoor, ShadowPad e KrustyLoader conferma un livello di cooperazione e coordinamento senza precedenti tra diversi gruppi APT.

Le tecniche di infiltrazione e furto di credenziali

Gli attori hanno utilizzato PowerShell per raccogliere informazioni locali e Certutil per scaricare file cifrati e installare componenti aggiuntivi. Strumenti come Procdump e PowerSploit sono stati impiegati per estrarre credenziali dai processi di sistema, in particolare da lsass.exe, consentendo escalation di privilegi e movimento laterale attraverso i domini interni. La compromissione è proseguita con lo sfruttamento della vulnerabilità CVE-2021-36942, che consente spoofing LSA, permettendo di impersonare account di sistema e accedere ad aree riservate delle reti compromesse. Le indagini condotte su ambienti sudamericani hanno rivelato un’ulteriore tattica di elusione, in cui gli attaccanti hanno utilizzato mantec.exe, un eseguibile legittimo di BugSplat, per caricare una DLL malevola rinominata symantec.exe. Questa tecnica di sideloading mimetico ha permesso di nascondere le attività dannose dietro processi apparentemente legittimi, rendendo l’operazione ancora più silenziosa.

L’espansione globale e la strategia di spionaggio

Le vittime individuate appartengono a settori chiave come telecomunicazioni, pubblica amministrazione, finanza e ricerca scientifica. Gli attacchi hanno coinvolto agenzie governative in Africa, ministeri in Sud America, università negli Stati Uniti e società finanziarie europee. Questa diversificazione geografica e settoriale dimostra un chiaro obiettivo strategico: ottenere intelligence politica, economica e industriale su scala mondiale. L’attribuzione dell’operazione punta con alta probabilità a cluster APT con base in Cina, tra cui Glowworm, Budworm, Sheathminer e UNC5221, tutti caratterizzati da strumenti condivisi, infrastrutture comuni e obiettivi convergenti. L’uso contemporaneo di più backdoor e loader indica una divisione del lavoro tra unità specializzate, suggerendo un modello operativo coordinato e di natura statale.

L’evoluzione delle tattiche post-patch

La rapidità con cui gli attaccanti hanno sfruttato ToolShell dopo la pubblicazione della patch rappresenta un salto qualitativo nel modus operandi dei gruppi cinesi. Le campagne post-patch si basano sull’analisi immediata degli aggiornamenti di sicurezza pubblicati da vendor come Microsoft. Gli attori confrontano il codice prima e dopo la correzione per individuare la vulnerabilità sottostante e creare exploit funzionanti nel giro di poche ore, colpendo prima che le vittime aggiornino i sistemi. Questa tattica, unita alla combinazione di linguaggi moderni, framework open-source e binari legittimi, segna l’ingresso in una nuova fase del cyberespionaggio cinese. Gli attacchi diventano più agili, più difficili da attribuire e più efficaci nel mantenere un accesso persistente senza lasciare impronte visibili.

Implicazioni e prospettive di difesa

La campagna ToolShell conferma la sofisticazione crescente dell’ecosistema APT cinese e la sua capacità di adattarsi rapidamente ai cambiamenti tecnologici. Gli esperti di sicurezza sottolineano l’importanza di adottare strategie di difesa proattive basate su analisi comportamentale, monitoraggio continuo dei log PowerShell e patching immediato delle vulnerabilità critiche. L’operazione evidenzia come la finestra temporale tra la pubblicazione di una patch e il suo sfruttamento effettivo si sia ridotta a poche ore, costringendo le organizzazioni a rivedere le proprie politiche di aggiornamento. La campagna ToolShell non rappresenta solo un attacco tecnico, ma un chiaro messaggio sulla velocità e la precisione con cui gli attori statali possono oggi condurre operazioni globali di spionaggio digitale.