Negli ultimi mesi, Check Point Research (CPR) ha monitorato l’attività di un attore di minacce cinese che prende di mira i ministeri degli affari esteri e le ambasciate in Europa. Questa attività fa parte di una tendenza più ampia che indica un cambiamento nell’ecosistema cinese, con un focus sulle entità europee e sulla loro politica estera.
La Campagna SmugX e l’Uso di HTML Smuggling
La campagna, denominata SmugX, utilizza tecniche di HTML Smuggling per colpire entità governative in Europa orientale. Questa campagna è attiva almeno dal dicembre 2022 e utilizza nuovi metodi di distribuzione, in particolare l’HTML Smuggling, per distribuire una nuova variante di PlugX. PlugX è un impianto comunemente associato a una vasta gamma di attori di minacce cinesi. Sebbene il payload rimanga simile alle varianti precedenti di PlugX, i metodi di distribuzione risultano in bassi tassi di rilevamento, il che ha permesso alla campagna di passare inosservata per un po’ di tempo.
Come Funziona l’HTML Smuggling
L’HTML Smuggling è una tecnica in cui gli attaccanti nascondono payload dannosi all’interno di documenti HTML. Questa tecnica viene utilizzata nella campagna SmugX per scaricare un file JavaScript o ZIP. L’apertura di questi documenti HTML dannosi porta a una catena di eventi che culmina con il download del payload. Gli attori di minacce utilizzano temi di esca incentrati sulla politica interna ed estera europea per prendere di mira principalmente i ministeri governativi in Europa orientale.
PlugX: Uno Strumento Pericoloso
PlugX, noto anche come Korplug, è un trojan modulare che è stato utilizzato da vari attori di minacce cinesi dal 2008. Funziona come uno strumento di accesso remoto (RAT) e impiega una struttura modulare che gli consente di ospitare diversi plugin con funzionalità distinte. Ciò consente agli attaccanti di svolgere una serie di attività dannose sui sistemi compromessi, tra cui furto di file, cattura schermate, registrazione dei tasti premuti e esecuzione di comandi.
Preoccupazioni sulla Sicurezza e la Privacy
È essenziale che le entità governative e le organizzazioni siano consapevoli di queste tecniche e prendano misure per proteggere i loro sistemi e dati. La campagna SmugX dimostra la crescente sofisticazione degli attori delle minacce e sottolinea l’importanza di implementare misure di sicurezza robuste. La collaborazione tra paesi e organizzazioni per condividere informazioni e risorse può essere cruciale per contrastare queste minacce.