Guerra Cibernetica

Hacker cinesi violano telcos con malware Linux mentre Kimsuky colpisce gli Stati Uniti con quishing via QR code

di Livio Varriale
scritto da Livio Varriale 0 commenti
uat 7290 kimsuky

UAT-7290 è diventato uno dei cluster più attivi nel cyberspionaggio contro operatori telco in Asia meridionale ed Europa sudorientale, sfruttando malware Linux modulare, exploit one-day su dispositivi edge e brute force SSH mirato, mentre Kimsuky, attore nordcoreano monitorato dall’FBI, ha intensificato nel 2025 campagne di quishing tramite QR code per colpire enti governativi, think tank e accademie statunitensi bypassando controlli email tradizionali e MFA.

L’intreccio tra compromissione infrastrutturale profonda e social engineering ad alta fiducia mostra come le minacce APT asiatiche stiano convergendo su modelli di attacco resilienti, difficili da rilevare e progettati per la persistenza a lungo termine.

Operazioni UAT-7290 contro le telcos con malware Linux

Il gruppo UAT-7290, attivo almeno dal 2022, conduce campagne altamente strutturate contro reti di telecomunicazioni, privilegiando una fase di ricognizione estesa pre-intrusione prima di qualsiasi compromissione. L’accesso iniziale avviene tramite vulnerabilità one-day su appliance edge esposte o tramite brute force SSH target-specifico, evitando lo sviluppo di exploit zero-day proprietari e riducendo l’impronta operativa.

Una volta ottenuto l’accesso, il gruppo distribuisce RushDrop, un dropper Linux che esegue controlli basilari anti-sandbox, crea directory nascoste come .pkgdb e rilascia più componenti sul sistema. RushDrop funge da ponte verso DriveSwitch, che a sua volta avvia SilentRaid, il principale implant modulare in C++ utilizzato per il controllo persistente degli host compromessi.

SilentRaid implementa una struttura a plugin che consente flessibilità operativa. Moduli come my_socks_mgr gestiscono il canale di comando e controllo, risolvendo domini tramite DNS pubblici per mimetizzarsi nel traffico legittimo. Il plugin my_rsh apre shell remote sfruttando busybox o /bin/sh, mentre port_fwd_mgr abilita forwarding multi-porta per muoversi lateralmente e trasformare l’host in un punto di transito.

Il modulo my_file_mgr consente la raccolta di dati sensibili, leggendo file come /etc/passwd, archiviando directory con tar e raccogliendo attributi di certificati X.509 come dnQualifier, utili per mappare l’infrastruttura e i trust interni.

ORB e condivisione infrastrutturale con altri APT cinesi

Uno degli elementi più rilevanti delle operazioni UAT-7290 è l’uso di Bulbature, un malware Linux progettato per trasformare dispositivi compromessi in ORB (Operational Relay Box). Questi nodi fungono da relay operativi per altri gruppi cinesi, ampliando la superficie di attacco condivisa e complicando l’attribuzione.

Bulbature, spesso UPX-packed per offuscare il payload, ascolta su porte casuali o configurate, identifica le interfacce di rete tramite /proc/net/route, raccoglie informazioni di sistema con whoami e uname, e memorizza i dettagli C2 in file .cfg all’interno di /tmp. Le comunicazioni sono protette da TLS con certificati self-signed, mentre la rotazione dinamica dei C2 consente al gruppo di mantenere il controllo anche in presenza di tentativi di blocco.

Questa architettura ORB collega UAT-7290 a cluster noti come RedFoxtrot e APT10, con sovrapposizioni infrastrutturali e tattiche che suggeriscono una collaborazione operativa o una condivisione di risorse. Alcuni artefatti richiamano inoltre ecosistemi malware come ShadowPad e SuperShell, rafforzando l’ipotesi di un perimetro APT cinese interconnesso e coordinato.

Quishing e QR code malevoli nelle campagne Kimsuky

In parallelo alle intrusioni infrastrutturali cinesi, l’FBI ha lanciato un avviso su Kimsuky, gruppo nordcoreano affiliato al Reconnaissance General Bureau, che nel 2025 ha intensificato l’uso di QR code malevoli come vettore primario di phishing ad alta efficacia.

Le campagne di quishing di Kimsuky si basano su email che spoofano advisor esteri, think tank, ambasciate o organizzatori di conferenze, invitando le vittime a scansionare QR code per accedere a questionari, drive sicuri o registrazioni riservate. Questo approccio consente di bypassare i controlli antiphishing email, spostando l’interazione direttamente su dispositivi mobili spesso non gestiti e fuori dal perimetro EDR aziendale.

Dopo la scansione, i QR code reindirizzano a pagine di login contraffatte, spesso modellate su Google Workspace, progettate per rubare credenziali e token di sessione. Il furto dei token permette agli attori di aggirare l’MFA, ottenendo accesso persistente agli account cloud senza generare alert tradizionali. In diversi casi, Kimsuky ha propagato ulteriori attacchi partendo da mailbox già compromesse, aumentando la credibilità delle campagne successive.

Le infrastrutture di phishing sono ottimizzate per mobile, raccolgono fingerprint del dispositivo e talvolta distribuiscono malware Android come DocSwap, ampliando l’impatto oltre il singolo account.

Impatto strategico su infrastrutture critiche e sicurezza nazionale

Le attività di UAT-7290 e Kimsuky evidenziano una pressione crescente sulle infrastrutture critiche e sugli ecosistemi decisionali occidentali. Le telcos rappresentano un obiettivo privilegiato per lo spionaggio strategico, consentendo l’accesso a metadati sensibili, flussi di comunicazione e infrastrutture di relay utili ad altri gruppi APT.

Parallelamente, il quishing MFA-resistente di Kimsuky dimostra come il fattore umano e i dispositivi mobili siano diventati il nuovo fronte di attacco per operazioni di intelligence mirate. L’uso di QR code come vettore ad alta fiducia riduce drasticamente l’efficacia delle difese tradizionali.

Le raccomandazioni operative convergono su patching rapido, monitoraggio delle anomalie di rete, hardening SSH, MDM per dispositivi mobili, MFA phishing-resistente e formazione continua contro tecniche di social engineering evolute. In un contesto di cooperazione APT transnazionale, consulta l’atlante di Matrice Digitale, la capacità di rilevare segnali deboli diventa un elemento decisivo di resilienza.

Domande frequenti su UAT-7290 e Kimsuky

Chi è UAT-7290 e perché colpisce le telcos?

UAT-7290 è un cluster APT cinese attivo dal 2022 che prende di mira le telcos per finalità di spionaggio. Le reti di telecomunicazione offrono accesso a metadati, infrastrutture critiche e nodi di relay utili anche ad altri gruppi APT.

Cosa rende SilentRaid particolarmente pericoloso?

SilentRaid è un malware Linux modulare che consente shell remote, raccolta dati, forwarding di rete e persistenza. La sua architettura a plugin permette al gruppo di adattare rapidamente le funzionalità agli obiettivi operativi.

Cos’è un ORB e perché è strategico per gli APT cinesi?

Un ORB è un nodo di relay operativo ottenuto compromettendo dispositivi edge o server. Gli ORB permettono agli APT di mascherare l’origine degli attacchi e di condividere infrastrutture tra più gruppi.

Perché il quishing di Kimsuky riesce a bypassare l’MFA?

Kimsuky utilizza QR code che portano a pagine di login false ottimizzate per mobile. Rubando i token di sessione, gli attori possono aggirare l’MFA senza generare richieste di autenticazione aggiuntive visibili all’utente.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il motto di Livio Varriale è “Coerenza, Costanza, CoScienza”.