Inchieste
Russia e Sud Est Asiatico: come Reaper ha spiato i nemici nella Corea del Nord

Tempo di lettura: 6 minuti.
Reaper (noto anche come APT37 o ScarCruft) è un attore APT sponsorizzato dalla Corea del Nord ed è noto per prendere di mira i disertori nordcoreani, i giornalisti che coprono le notizie relative l'impero di Kim Jong Un e le organizzazioni governative relative alla penisola coreana, tra gli altri. Nel 2021 un host compromesso da ScarCruft è stato infettato dal malware PowerShell e sono emerse le prove che l'attore aveva già rubato i dati dalla vittima e sorvegliandola per diversi mesi. L'attore ha anche tentato di inviare e-mail di spear-phishing ai soci della vittima che lavorano in aziende legate alla Corea del Nord, utilizzando credenziali di accesso rubate.
Sulla base dei risultati della macchina compromessa, è stato scoperto un ulteriore malware, in tutto tre tipi, con funzionalità simili: versioni implementate in PowerShell, eseguibili Windows e applicazioni Android. Anche se destinati a piattaforme diverse, condividevano uno schema di comando e controllo simile basato sulla comunicazione HTTP. Pertanto, gli operatori del malware potevano controllare l'intera famiglia di software malevoli attraverso un set di script di comando e controllo.
Reaper controllava il malware utilizzando uno script PHP sul server web compromesso e controllava gli impianti in base ai parametri HTTP. Sulla base dei logs acquisiti dai server compromessi sono state identificate ulteriori vittime in Corea del Sud e server web compromessi che sono stati utilizzati da Reaper dall'inizio del 2021 con annesse varianti più vecchie del malware, consegnate tramite documenti HWP risalenti alla metà del 2020.
Prima di effettuare lo spear-phishing su una potenziale vittima per poi inviare un documento dannoso, l'attore ha contattato il bersaglio utilizzando l'account Facebook rubato ad un suo conoscente, essendo già che informato il potenziale obiettivo gestiva un'attività legata alla Corea del Nord e ha chiesto informazioni sul suo stato attuale. Dopo una conversazione sui social media, l'attore ha inviato un'email di spear-phishing alla potenziale vittima utilizzando un account email rubato.
L'attore ha sfruttato i suoi attacchi utilizzando credenziali di accesso rubate, come Facebook e account di posta elettronica personali, e quindi ha mostrato un alto livello di sofisticazione.
Dopo una conversazione su Facebook, il potenziale bersaglio ha ricevuto un'email di spear-phishing dall'attore contenente un archivio RAR protetto da una password mostrata nel corpo dell'email con all'interno un documento Word dannoso.
In questa campagna, l'attore si è affidato esclusivamente a server web compromessi, per lo più situati in Corea del Sud. Durante questa ricerca un lavoro congiunto con il CERT coreano si è riusciti ad abbattere l'infrastruttura dell'attaccante ottenendo la possibilità di esaminare uno degli script sui server C2 che controllano il malware Chinotto. Lo script C2 (chiamato “do.php“) utilizzava diversi file predefiniti per salvare lo stato del client (shakest) e i comandi (comcmd). Inoltre, analizzava diversi parametri (id, tipo, direzione, dati) forniti dalla richiesta HTTP dell'impianto.
Le vittime predestinate erano disertori della Corea del Nord e analizzando l'infrastruttura dell'attaccante, sono state trovate 75 connessioni client tra gennaio 2021 e febbraio 2021. La maggior parte degli indirizzi IP sembrano essere connessioni Tor o VPN, che probabilmente provengono dai ricercatori o dagli operatori del malware. Analizzando altri server C2, abbiamo trovato più informazioni su possibili vittime aggiuntive e tutte provenivano dalla Corea del Sud.
Molti giornalisti, disertori e attivisti dei diritti umani sono da sempre obiettivi di sofisticati attacchi informatici di natura statale. A differenza delle aziende, questi obiettivi in genere non hanno strumenti sufficienti per proteggersi e rispondere agli attacchi di sorveglianza altamente qualificati e nella prosecuzione delle indagini sono poi emerse ulteriori varianti Android dello stesso malware, che è stato inestimabile nella comprensione e nel tracciamento del TTP di Reaper. Inoltre, durante la ricerca di attività correlate, sono state scoperte una serie di attività più vecchie che risalgono alla metà del 2020, indicando che le operazioni dell'apt nordcoreano contro questo gruppo di individui sono state operative per un periodo di tempo più lungo.
Alla fine di luglio 2021, è stata identificata una campagna di spear phishing in corso che promuoveva Konni Rat con il fine di colpire la Russia. Konni è stato osservato per la prima volta nel 2014 ed è stato potenzialmente collegato ai nordcoreani dell'APT37 conosciuti anche come Reaper.
Sono stati scoperti due documenti scritti in lingua russa e muniti della stessa macro dannosa. Una delle esche riguardava il commercio e le questioni economiche tra la Russia e la penisola coreana. L'altro riguardava una riunione della commissione intergovernativa russo-mongola.
Questi documenti malevoli utilizzati da Konni APT sono stati dotati con la stessa semplice ma intelligente macro che utilizzava funzione Shell per eseguire un comando cmd one-liner cheprendeva il documento attivo corrente come input e cercava la stringa “^var” usando findstr per poi scrivere il contenuto della linea che fissa da “var” in y.js. Alla fine chiamava la funzione Wscript Shell per eseguire il file Java Script (y.js).
La parte intelligente è che l'attore ha cercato di nascondere il suo JS dannoso e non l'ha messo direttamente nella macro per evitare di essere rilevato dai prodotti Antivirus e per nascondere l'intento principale. Questo javascript cercava due pattern codificati all'interno del documento attivo e per ogni pattern dapprima scriveva il contenuto a partire dal pattern nel file temp.txt e poi lo decodificava in base 64 usando la sua funzione integrata di decodifica base64, la funzione de(input), e infine scriveva il contenuto decodificato nell'output definito.
yy.js era usato per memorizzare i dati del primo contenuto decodificato e y.ps1 era usato per memorizzare i dati del secondo contenuto decodificato. Dopo aver creato i file di output, venivano eseguiti usando Wscript e Powershell.
Questo era il payload finale che è stato distribuito come servizio usando svchost.exe. Questo Rat era pesantemente offuscato e stava usando molteplici tecniche anti-analisi grazie alla sua sezione personalizzata chiamata “qwdfr0” che aveva il compito di eseguire tutto il processo di de-obfuscazione. Questo payload si registrava come servizio usando la sua funzione di esportazione ServiceMain.
La sua funzionalità non era cambiata molto ed era simile alla sua versione precedente. Sembra infatti che l'attore abbia semplicemente usato un pesante processo di offuscamento per ostacolare tutti i meccanismi di sicurezza. Il rilevamento di VirusTotal di questo campione al momento dell'analisi era 3, il che indicava le capacità dell'APT nell'offuscamento e nel bypassare la maggior parte dei prodotti antivirus.
Questo RAT aveva un file di configurazione criptato “xmlprov.ini” con la funzionalità di raccogliere informazioni dalla macchina della vittima eseguendo i seguenti comandi:
cmd /c systeminfo: Utilizza questo comando per raccogliere informazioni dettagliate sulla configurazione della macchina della vittima, comprese le configurazioni del sistema operativo, le informazioni sulla sicurezza e i dati hardware (dimensioni della RAM, spazio su disco e informazioni sulle schede di rete) e memorizza i dati raccolti in un file tmp.
cmd /c tasklist: Esegue questo comando per raccogliere un elenco di processi in esecuzione sulla macchina della vittima e memorizzarli in un file tmp.
Nella fase successiva ognuno dei file tmp raccolti viene convertito in un file cab utilizzando cmd /c makecab e poi criptato e inviato al server dell'attaccante in una richiesta HTTP POST (http://taketodjnfnei898.c1.biz/up.php?name=%UserName%).
Konni è un Rat che potenzialmente utilizzato da APT37-REAPER per colpire le sue vittime che principalmente sono organizzazioni politiche in Russia e Corea del Sud, ma non si limita a questi paesi ed è stato osservato che ha preso di mira il Giappone, il Vietnam, il Nepal e la Mongolia.
Ecco le principali differenze tra questa nuova campagna e quelle precedenti, tra cui l'operazione ScarCruft osservata in precedenza:
- Le macro sono diverse. Nella vecchia campagna l'attore usava le TextBox per memorizzare i suoi dati, mentre nella nuova campagna il contenuto è stato codificato in base64 all'interno del contenuto del documento.
- Nella nuova campagna sono stati usati file JavaScript per eseguire file batch e PowerShell.
- La nuova campagna usa Powershell e chiamate API URLMON per scaricare il file cab mentre nella vecchia campagna usava certutil per scaricare il file cab.
- La nuova campagna ha usato due diverse tecniche di bypass dell'UAC basate sul sistema operativo della vittima, mentre nella vecchia campagna l'attore usava solo la tecnica Token Impersonation.
- Nella nuova campagna l'attore ha sviluppato una nuova variante di Konni RAT che è pesantemente offuscata. Inoltre, la sua configurazione è criptata e non è più codificata in base64. Inoltre non utilizza l'FTP per l'esfiltrazione.
Verso la fine dell'anno gli hacker nordcoreani hanno preso di mira i diplomatici russi usando gli auguri di Capodanno e sono stati effettuati almeno dal 20 dicembre.
“Nei messaggi di posta elettronica hanno usato la festa di Capodanno 2022 come tema esca”, secondo i ricercatori di Cluster25.
Contrariamente alle sue azioni passate, il gruppo APT nordcoreano questa volta non ha usato documenti dannosi come allegati; invece, hanno allegato un tipo di file .zip chiamato ‘поздравление.zip‘, che significa ‘congratulazioni' in russo, contenente un eseguibile incorporato che rappresenta la prima fase dell'infezione”.
Secondo il gruppo Cluster25, che l'ha scoperto, i file ZIP contenevano un file screensaver (.scr) di Windows che, quando eseguito, installava uno screensaver con gli auguri per le vacanze russe, ma anche il trojan di accesso remoto (RAT) Konni, il malware da cui il gruppo ha preso il nome, e che garantiva all'attaccante il pieno controllo sui sistemi infetti.
Cluster25 ha detto di aver rilevato solo le e-mail inviate all'ambasciata russa in Indonesia, ma l'attacco molto probabilmente ha preso di mira anche altre ambasciate ed ha spiegato che Reaper, con il fine di sembrare più autentico possibile, ha detto che le e-mail sono state anche spoofate utilizzando un account @mid.ru come mittente per fingere che l'e-mail provenisse dall'ambasciata russa in Serbia.
La società di sicurezza ha sostenuto di aver monitorato i recenti attacchi Konni rivolti ai diplomatici russi almeno dall'agosto 2021, come parte di una serie di attacchi rilevati e dettagliati da Malwarebytes l'anno precedente. Tutto sommato, gli attacchi che utilizzano i file screensaver di Windows sono stati pesantemente abusati dalle operazioni di malware nei primi anni 2000 e potrebbero sembrare troppo semplicistici per funzionare, ma la realtà è che gli utenti non tecnici cadono ancora per questa tecnica, come accaduto precedentemente con i creatori di NFT.
Inchieste
La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19
Tempo di lettura: 2 minuti. La CIA e NewsGuard sotto accusa: nuove rivelazioni sollevano dubbi sulla narrazione ufficiale dell’origine del COVID-19.

Tempo di lettura: 2 minuti.
In una recente rivelazione che potrebbe gettare nuova luce sull'origine della pandemia di COVID-19, un alto ufficiale della CIA ha accusato l'agenzia di aver tentato di manipolare le testimonianze di alcuni analisti per sostenere la teoria della trasmissione del virus dagli animali agli esseri umani, piuttosto che dalla fuga da un laboratorio a Wuhan, in Cina. Questa accusa, riportata dal New York Post, è stata confermata da una lettera inviata al direttore della CIA, William Burns, e ha sollevato nuove domande sulla credibilità delle informazioni fornite dall'agenzia.
Il ruolo di NewsGuard
In questo contesto, è importante sottolineare il ruolo svolto da NewsGuard, una società che si occupa di monitorare e valutare la veridicità delle notizie pubblicate online. Secondo una inchiesta condotta da Matrice Digitale, NewsGuard ha avuto un ruolo significativo nell'avallare la narrazione ufficiale sull'origine del virus, etichettando come false le notizie che sostenevano la teoria della creazione artificiale del virus nei laboratori di Wuhan.
Critiche e controversie
La redazione di Matrice Digitale ha criticato aspramente l'approccio di NewsGuard, accusandola di aver creato una lista di proscrizione delle testate giornalistiche che diffondevano notizie contrarie alla narrazione ufficiale, e di aver ignorato altre informazioni false e fuorvianti circolate in merito alla pandemia. Questa situazione ha sollevato gravi preoccupazioni riguardo alla libertà di espressione e al diritto all'informazione, con Matrice Digitale che sottolinea la necessità di una maggiore trasparenza e responsabilità da parte delle agenzie di controllo delle notizie.
Questioni politiche e di credibilità
L'inchiesta di Matrice Digitale mette in luce anche le divergenze tra le narrazioni politiche negli Stati Uniti riguardo all'origine del virus, con il Partito Democratico che sostiene la teoria della trasmissione zoonotica, mentre il Partito Repubblicano sospetta una creazione artificiale del virus nei laboratori di Wuhan. In questo scenario, la credibilità di NewsGuard viene messa in discussione, con accuse di favoritismo politico e mancanza di obiettività nella valutazione delle notizie.
In conclusione, le recenti rivelazioni sulla possibile manipolazione delle informazioni da parte della CIA, insieme alle critiche mosse a NewsGuard, sollevano seri dubbi sulla veridicità delle informazioni circolate finora riguardo all'origine del COVID-19. È evidente che la questione richiede ulteriori indagini e una maggiore trasparenza da parte delle agenzie coinvolte. Prima della CIA, anche dall'FBI erano giunte indiscrezioni sull'origine artificiale del virus.
Inchieste
Vinted, come ottenere merce e rimborso: “il tuo capo è falso”
Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite online e la necessità di maggiore protezione per gli utenti.

Tempo di lettura: 2 minuti.
Le truffe online sono in aumento, e le piattaforme di vendita tra privati come Vinted diventano spesso il terreno di gioco per chi cerca di ingannare. Una lettrice ha deciso di condividere con noi la sua esperienza, sperando di mettere in guardia altri utenti e partecipando attivamente allo spirito di collaborazione che Matrice Digitale ha nei confronti dei lettori e della Pubblica Autorità.
La truffa in dettaglio

Dopo aver messo in vendita una sciarpa autentica di Louis Vuitton, la nostra lettrice ha inviato l'articolo a un'acquirente in Francia. Nonostante avesse fornito prove fotografiche dell'autenticità, l'acquirente ha sostenuto che l'articolo fosse falso, ottenendo un rimborso e trattenendo la sciarpa. La foto dell'acquirente sia da monito per evitare di vendere merce senza ottenere soldi e reso.
La piattaforma Vinted e la sua risposta

Nonostante i numerosi tentativi di contatto, Vinted ha risposto una sola volta, sottolineando la sua politica contro la vendita di falsi. Successivamente, ogni tentativo di comunicazione è stato ignorato, e l'acquirente ha bloccato la nostra lettrice che continua a mandare tre messaggi al giorno di media all'assistenza dell'azienda intermediaria già nota per essere terreno fertile di truffe ai danni di compratori e venditori onesti.
Un modus operandi diffuso
La ricerca online ha rivelato che molti altri utenti hanno subito truffe simili su Vinted. Dichiarare un prodotto come “falso” sembra essere una tattica comune tra i truffatori. Sia chiaro, il lettore non prenda questa strategia come consiglio, ma duole segnalare che è un dato di fatto. Un capo rotto è stato anche oggetto di un'altra truffa simile già raccontata dalla redazione.
L'inerzia delle autorità
La vittima ha cercato aiuto presso la Polizia Postale e la Guardia di Finanza. Tuttavia, le mani delle autorità erano legate a causa della residenza estera sia di Vinted che dell'acquirente.
Il prezzo della giustizia
La nostra lettrice ha valutato anche una opzione legale, ma i costi proibitivi di una causa internazionale hanno reso questa strada impraticabile. Lo stesso motivo che ha fatto desistere Matrice Digitale dal fare una causa a Google dopo l'ingiustificato ban del suo canale YouTube
Riflessioni finali
Questa testimonianza evidenzia la necessità per le piattaforme come Vinted di adottare misure più rigorose per proteggere i propri utenti. Nel frattempo, è fondamentale che gli utenti siano sempre vigili e informati quando operano online: il passa parola non sulle abitudini da osservare, bensì sulle truffe del momento, è fondamentale per anticipare le mosse dei criminali. Ecco tutte le inchieste su Vinted realizzate da Matrice Digitale: i prossimi potreste essere voi.
Inchieste
Vinted, how to get goods and refund: “your luxury dress is fake”
Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online sales and the need for more protection for users.

Tempo di lettura: 2 minuti.
Online scams are on the rise, and B2B sales platforms such as Vinted often become the playground for those seeking to deceive. One reader decided to share her experience with us, hoping to warn other users and actively participate in the spirit of cooperation that Digital Matrix has with readers and the Public Authority.
The scam in detail

After listing an authentic Louis Vuitton scarf for sale, our reader sent the item to a buyer in France. Despite providing photographic evidence of authenticity, the buyer claimed the item was fake, getting a refund and keeping the scarf. Let the buyer's photo be a warning to avoid selling merchandise without getting money and returns.
The Vinted platform and its response
Despite numerous attempts to contact them, Vinted responded only once, emphasizing its policy against selling fakes. Subsequently, every attempt at communication was ignored, and the buyer blocked our reader who continues to send an average of three messages a day to the intermediary company's support, which is already known to be a breeding ground for scams against honest buyers and sellers.
A widespread modus operandi
Online research has revealed that many other users have experienced similar scams on Vinted. Declaring a product as “fake” seems to be a common tactic among scammers. Let me be clear, the reader does not take this strategy as advice, but it pains to report that it is a fact. A broken garment was also the subject of another similar scam already recounted by the editorial staff.
The inaction of the authorities
The victim sought help from the Postal Police and the Guardia di Finanza. However, the hands of the authorities were tied because of the foreign residence of both Vinted and the buyer.
The price of justice
Our reader also considered a legal option, but the prohibitive costs of an international lawsuit made this route impractical. The same reason that put off Digital Matrix from suing Google after the unjustified banning of its YouTube channel
Final reflections.
This testimony highlights the need for platforms like Vinted to take stronger measures to protect their users. In the meantime, it is crucial for users to be vigilant and informed at all times when operating online: word of mouth not about the habits to observe, but rather the scams of the moment, is key to anticipating the moves of criminals. Here are all the inch
- L'Altra Bolla3 settimane fa
Puglisi colpisce Fabbri, ma rischia di favorire laureati incompetenti
- Editoriali2 settimane fa
Vannacci è diventato ricco grazie alle armi spuntate del Mainstream
- L'Altra Bolla2 settimane fa
Elon Musk e X Corp. contro lo stato della California sulla legge AB 587
- Editoriali1 settimana fa
Zelensky fa uso di cocaina? I dubbi e le paure su un alleato “tossico”
- L'Altra Bolla2 settimane fa
Corte d’appello USA: Governo Biden e l’FBI hanno viziato le opinioni social
- Truffe online3 settimane fa
Nuova truffa di sextortion: il tuo “video intimo” su YouPorn
- L'Altra Bolla2 settimane fa
YouTube sperimenta pulsante “Iscriviti” luminoso
- L'Altra Bolla2 settimane fa
YouTube e l’intelligenza artificiale insieme per la creatività pubblicitaria