Il gruppo di cybercriminali Earth Preta ha recentemente potenziato le sue capacità di attacco introducendo nuove varianti di malware e strategie avanzate. Tra le novità principali vi è l’utilizzo del worm HIUPAN, che propaga il malware PUBLOAD tramite dispositivi removibili, insieme all’adozione di nuovi strumenti come FDMTP e PTSOCKET, destinati a migliorare il controllo e l’esfiltrazione dei dati. Le campagne spear-phishing di Earth Preta si concentrano su attacchi rapidi e altamente mirati, in particolare contro enti governativi nella regione Asia-Pacifico (APAC).
Worm HIUPAN e Malware PUBLOAD
Il worm HIUPAN, utilizzato per la propagazione di PUBLOAD, rappresenta un’evoluzione significativa nelle tattiche di Earth Preta. Questo worm si diffonde attraverso dispositivi USB, rendendo difficile per le vittime identificare la minaccia.
PUBLOAD agisce come strumento di controllo principale, eseguendo raccolta dati e infiltrazione di malware aggiuntivi nel sistema. FDMTP viene utilizzato come downloader di malware, mentre PTSOCKET facilita il trasferimento dei dati rubati.
Campagne Spear-Phishing
Le recenti campagne spear-phishing condotte da Earth Preta utilizzano downloader multistadio come DOWNBAIT e PULLBAIT. Questi strumenti consentono la distribuzione di ulteriori minacce, come il backdoor CBROVER e il malware PLUGX, che viene utilizzato per eseguire la raccolta dei dati attraverso strumenti come FILESAC. L’esfiltrazione dei dati viene eseguita tramite protocolli sicuri, come cURL o PTSOCKET, spesso sfruttando i servizi cloud di Microsoft per il trasferimento delle informazioni rubate.
Earth Preta secondo TrendMicro continua a essere una minaccia significativa per le infrastrutture governative e critiche nella regione APAC. Il gruppo ha migliorato le sue tattiche e strumenti, rendendo i suoi attacchi più efficaci e difficili da rilevare. Le organizzazioni sono invitate a rafforzare le loro difese contro queste minacce, prestando particolare attenzione ai dispositivi removibili e alle campagne spear-phishing.
