Un governo del Sud-Est asiatico, il cui nome non è stato rivelato, è stato preso di mira da diversi attori minacciosi legati alla Cina come parte di campagne di spionaggio mirate alla regione per lunghi periodi di tempo. Nonostante l’attività sia avvenuta nello stesso periodo e in alcuni casi anche simultaneamente sulle stesse macchine delle vittime, ogni gruppo è caratterizzato da strumenti, modus operandi e infrastrutture distinti, come riferito dai ricercatori di Palo Alto Networks Unit 42.
Gli attacchi, che hanno preso di mira diverse entità governative come infrastrutture critiche, istituzioni sanitarie pubbliche, amministratori finanziari pubblici e ministeri, sono stati attribuiti con moderata sicurezza a tre diversi gruppi noti come Stately Taurus (o Mustang Panda), Alloy Taurus (o Granite Typhoon) e Gelsemium.
Mustang Panda ha condotto un’operazione di cyber spionaggio focalizzata sulla raccolta di informazioni e sul furto di documenti sensibili, mantenendo una presenza persistente e clandestina. Hanno utilizzato una varietà di strumenti, tra cui LadonGo, AdFind, Mimikatz, Impacket, China Chopper, Cobalt Strike, ShadowPad e una nuova versione del backdoor TONESHELL.
Alloy Taurus, iniziato all’inizio del 2022 e continuato nel 2023, ha utilizzato tecniche insolite e ha eluso i prodotti di sicurezza per una persistenza a lungo termine e il riconoscimento. Gli attacchi hanno sfruttato le falle nei Microsoft Exchange Servers per distribuire web shell, servendo come condotto per consegnare ulteriori payload, tra cui due backdoor .NET precedentemente sconosciute, Zapoa e ReShell.
Gelsemium, attivo per oltre sei mesi tra il 2022 e il 2023, ha sfruttato server web vulnerabili per installare web shell e distribuire backdoor come OwlProxy e SessionManager, utilizzando contemporaneamente altri strumenti come Cobalt Strike, Meterpreter, Earthworm e SpoolFool per post-sfruttamento, tunneling del traffico di comando e controllo, e escalation di privilegi.
Un nuovo rapporto rivela tre distinti gruppi di attacco cibernetico legati alla Cina che hanno preso di mira un governo del Sud-Est asiatico, utilizzando una varietà di strumenti e tecniche avanzate per condurre operazioni di spionaggio e furto di informazioni sensibili.