I ricercatori hanno rivelato un sofisticato attacco informatico Winnti che fa uso di sistemi Windows in un metodo “raramente osservato“.
Secondo Cybereason, la campagna è portata avanti dal gruppo cinese advanced persistent threat (APT) Winnti, che non è stato scoperto per anni.
APT 41, o “Winnti” che va anche con i nomi affiliati BARIUM e Blackfly è uno dei gruppi di minacce cinesi sponsorizzate dallo stato più prolifici e di successo, con una storia di lancio di spionaggio sostenuto dal PCC e attacchi finanziariamente motivati sugli Stati Uniti e altri obiettivi internazionali, che sono spesso allineati con i piani quinquennali di sviluppo economico della Cina.
L’APT 41, un rinomato attore statale cinese, ha risucchiato un furto di proprietà intellettuale stimato in trilioni da circa 30 società internazionali nei settori manifatturiero, energetico e farmaceutico nel corso di diversi anni.
I cyberattacchi contro i produttori di videogiochi, i fornitori di software e i college di Hong Kong sono stati tutti collegati al gruppo in passato. Quando le vulnerabilità critiche in Microsoft Exchange Server ProxyLogon sono state rese pubbliche, Winnti, insieme ad altre APT, ne ha fatto uso.
Cybereason ha detto di aver informato sia l’FBI che il Dipartimento di Giustizia degli Stati Uniti (DoJ) sulla campagna dell’APT, che è stata attiva dal 2019 ma è stata identificata solo di recente, in due rapporti pubblicati mercoledì.
Secondo gli esperti di cybersicurezza, le operazioni clandestine hanno preso di mira le reti di organizzazioni tecnologiche e produttive in Europa, Asia e Nord America, con l’obiettivo di ottenere preziosi dati privati.
La “catena di infezione a più stadi” di Winnti, soprannominata “Operation CuckooBees“, inizia con lo sfruttamento delle debolezze nel software di pianificazione delle risorse aziendali (ERP) e l’implementazione del caricatore Spyder. Alcuni dei problemi sfruttati erano noti, ma altri erano vulnerabilità zero-day, secondo i ricercatori.
