Il gruppo Evasive Panda, noto anche con gli alias Bronze Highland, Daggerfly e StormBamboo, ha compiuto un salto qualitativo significativo nelle proprie capacità operative, introducendo DNS poisoning selettivo, loader multistadio e tecniche di crittografia ibrida per mantenere accessi furtivi e di lungo periodo. Le attività analizzate coprono un arco temporale esteso, dal novembre 2022 al novembre 2024, e mostrano un livello di sofisticazione coerente con operazioni di spionaggio mirato piuttosto che campagne di massa. Le infezioni osservate hanno colpito in modo particolare Turchia, Cina e India, con compromissioni che in alcuni casi sono rimaste attive per oltre un anno, un indicatore chiaro di obiettivi ad alto valore informativo e di una strategia orientata alla persistenza silenziosa.
Cosa leggere
DNS poisoning e adversary-in-the-middle come vettore chiave
Il cuore dell’evoluzione tattica di Evasive Panda è l’uso sistematico di attacchi adversary-in-the-middle (AitM) basati su avvelenamento DNS. Il gruppo manipola selettivamente le risposte DNS, reindirizzando solo determinate vittime verso server controllati. La particolarità di questa tecnica è la sua selettività geografica e di rete: lo stesso dominio restituisce IP legittimi alla maggior parte degli utenti, mentre fornisce indirizzi malevoli solo a target specifici, spesso in base a ISP o area geografica.
Questa strategia riduce drasticamente la superficie di esposizione e rende molto più difficile individuare l’infrastruttura malevola tramite analisi automatizzate o sandbox. In diversi casi, domini apparentemente innocui e molto noti, come dictionary.com, sono stati sfruttati come punto di partenza per la catena di infezione, aumentando ulteriormente la probabilità di successo.
Loader multistadio e impianti unici per vittima
Una volta completato il reindirizzamento DNS, la vittima scarica un loader iniziale, spesso camuffato da aggiornamento software legittimo. Le esche osservate imitano installer di applicazioni popolari come SohuVA, iQIYI Video, IObit Smart Defrag e Tencent QQ, aumentando la credibilità dell’attacco.
Il loader principale è scritto in C++ con Windows Template Library (WTL) e presenta una pipeline ben definita. Le configurazioni vengono decrittate con XOR, i buffer compressi sono decompressi tramite LZMA, e vengono eseguiti controlli su nomi utente e contesto di esecuzione prima di procedere. Il file si copia poi come ext.exe in percorsi di sistema con privilegi elevati, operando spesso sotto SYSTEM.
La caratteristica più rilevante è l’uso di crittografia ibrida, che rende ogni impianto unico per singola vittima. Parti del malware restano archiviate in forma criptata su server remoti e vengono recuperate solo al momento opportuno, riducendo drasticamente l’efficacia dei rilevamenti basati su firme statiche.
Shellcode, API hashing e payload camuffati
Il loader decritta uno shellcode con un semplice XOR a byte singolo e utilizza VirtualProtect per rendere eseguibili le sezioni di memoria necessarie. Lo shellcode risolve le API di Windows a runtime tramite hashing PJW, evitando riferimenti diretti che faciliterebbero l’analisi statica. Recupera inoltre la versione del sistema operativo tramite RtlGetVersion, includendo queste informazioni negli header HTTP per adattare il comportamento del payload.
I componenti successivi vengono scaricati come file PNG apparentemente innocui, ospitati su domini avvelenati. In realtà, questi file contengono codice cifrato, che viene decrittato con XOR a 4 byte ed eseguito direttamente in memoria dopo ulteriori modifiche ai permessi tramite VirtualProtect. L’uso di formati multimediali come contenitore contribuisce a eludere controlli di sicurezza e proxy web.
DLL sideloading e loader secondario
Una seconda fase particolarmente sofisticata prevede l’uso di DLL sideloading tramite eseguibili legittimi e firmati, spesso vecchi di oltre dieci anni, ma ancora presenti in molti sistemi. Un esempio chiave è l’utilizzo di evteng.exe, un binario firmato, per caricare una DLL malevola mascherata da libpython2.4.dll.
Questo loader secondario decritta il payload da file locali come perf.dat, utilizzando una combinazione DPAPI-RC5. La DPAPI lega il contenuto al sistema specifico, mentre RC5 protegge ulteriormente il codice, impedendone il riutilizzo su altre macchine. Il payload finale viene poi iniettato in processi legittimi come svchost.exe, consolidando la persistenza e riducendo la visibilità dell’infezione.
MgBot e persistenza di lungo periodo
L’impianto finale distribuito da Evasive Panda è MgBot, un malware modulare che opera quasi esclusivamente in memoria, limitando al minimo le tracce su disco. Le configurazioni di MgBot vengono decrittate con una chiave XOR statica, 0x58, e includono nomi di campagna, IP C2 hardcoded e chiavi crittografiche.
La presenza di più server C2 garantisce resilienza operativa anche in caso di blocchi parziali dell’infrastruttura. In diversi casi analizzati, le vittime sono rimaste compromesse per oltre dodici mesi, suggerendo attività di sorveglianza continuativa e raccolta dati a lungo termine.
Regioni colpite e logica del targeting
La Turchia emerge come uno dei principali teatri operativi, con infezioni persistenti e altamente mirate. Pattern simili sono stati osservati anche in Cina e India, a conferma di un interesse regionale strategico. Il gruppo evita deliberatamente la diffusione indiscriminata, preferendo targeting selettivo per ridurre il rischio di scoperta e attribuzione.
La manipolazione DNS basata su ISP e localizzazione permette a Evasive Panda di adattare le campagne a contesti specifici, sfruttando differenze infrastrutturali e normative tra i vari paesi. Questo approccio rafforza l’ipotesi di operazioni sponsorizzate o comunque allineate a obiettivi geopolitici di lungo periodo.
Indicatori di compromissione e difesa
L’analisi delle campagne ha permesso di identificare numerosi indicatori di compromissione, inclusi hash di file, percorsi di installazione ricorrenti e IP di comando e controllo. Tuttavia, la natura dinamica e personalizzata dei loader rende questi IOC rapidamente obsoleti, imponendo un approccio difensivo basato su behavioral analysis, monitoraggio DNS e rilevamento di iniezioni in memoria.
Le tecniche adottate da Evasive Panda mostrano come il gruppo stia progressivamente spostando il baricentro dalle vulnerabilità note alla manipolazione dell’infrastruttura di rete e all’abuso di componenti legittimi, un trend che complica ulteriormente le attività di detection tradizionali.
ATLANTE DELLA GUERRA CIBERNETICA
L’evoluzione di Evasive Panda rappresenta un esempio emblematico di come i gruppi APT stiano affinando le proprie TTP per mantenere accessi invisibili e duraturi. L’integrazione di DNS poisoning selettivo, crittografia ibrida, DLL sideloading e impianti memory-only segna un livello di maturità elevato, che richiede contromisure altrettanto avanzate.
Per le organizzazioni operanti in regioni sensibili o strategiche, queste campagne confermano la necessità di difese multilivello, con particolare attenzione al traffico DNS, alla validazione degli aggiornamenti software e al monitoraggio dei processi legittimi utilizzati come veicolo di attacco.
Domande Frequenti su Evasive Panda APT
Cos’è il gruppo Evasive Panda?
Evasive Panda (noto anche come Bronze Highland o Daggerfly) è un gruppo di cyber-spionaggio avanzato (APT), attivo principalmente contro obiettivi strategici in Asia. È noto per l’uso di malware sofisticati e tecniche di attacco mirate per sottrarre informazioni sensibili a lungo termine.
Come funziona il DNS Poisoning selettivo usato da questo gruppo?
A differenza degli attacchi DNS classici che colpiscono tutti, Evasive Panda manipola le risposte DNS solo per specifici bersagli (basandosi su area geografica o ISP). Un sito web legittimo apparirà normale a tutti, tranne alla vittima designata, che verrà reindirizzata verso un server malevolo per scaricare il malware.
Che cos’è MgBot?
MgBot è il malware finale (payload) utilizzato da Evasive Panda. È una backdoor modulare progettata per operare quasi esclusivamente nella memoria del computer (senza scrivere file su disco), rendendola molto difficile da rilevare per gli antivirus tradizionali. Permette agli attaccanti di spiare e rubare dati per mesi.
Quali sono le regioni più colpite da queste campagne?
Le analisi recenti indicano che le operazioni di Evasive Panda si concentrano principalmente su obiettivi in Turchia, Cina e India, colpendo organizzazioni governative, infrastrutture critiche e target ad alto valore informativo.
