Patchwork, noto anche come Operation Hangover e Zinc Emerson, è un gruppo sospettato di operare per conto dell’India. Attivo dal dicembre 2015, il gruppo ha un focus ristretto e tende a prendere di mira Pakistan e Cina con attacchi mirati.
Dettagli della campagna
Secondo il KnownSec 404 Team, l’attività ha comportato l’uso di un backdoor denominato EyeShell. Patchwork condivide sovrapposizioni tattiche con altri gruppi di cyber-spionaggio con collegamenti indiani, come SideWinder e il DoNot Team.
Azioni precedenti di Patchwork
A maggio, Meta ha rivelato di aver chiuso 50 account su Facebook e Instagram gestiti da Patchwork, che sfruttavano app di messaggistica fasulle caricate sul Google Play Store per raccogliere dati da vittime in Pakistan, India, Bangladesh, Sri Lanka, Tibet e Cina. Patchwork ha creato un falso sito di recensioni per le app di chat, mettendo la propria app controllata dagli aggressori in cima alla lista.
Altre attività sotto il nome ModifiedElephant
Alcune delle attività di Patchwork sono state segnalate anche sotto il nome ModifiedElephant, riferendosi a una serie di attacchi contro attivisti per i diritti umani, accademici e avvocati in India per condurre sorveglianza a lungo termine e piantare “prove digitali compromettenti” in relazione alla violenza di Bhima Koregaon nel 2018 nello stato indiano del Maharashtra.
Dettagli su EyeShell
EyeShell, rilevato insieme a BADNEWS, è un backdoor modulare basato su .NET con capacità di stabilire contatto con un server di comando e controllo remoto (C2) ed eseguire comandi per enumerare file e directory, scaricare e caricare file da e verso l’host, eseguire un file specificato, eliminare file e catturare screenshot.
Altri attacchi in Cina
Le scoperte arrivano mentre l’azienda di cybersecurity ha dettagliato un’altra ondata di attacchi di phishing orchestrati da un gruppo chiamato Bitter, mirati a industrie aerospaziali, militari, grandi imprese, affari governativi nazionali e università in Cina con un nuovo backdoor noto come ORPCBackdoor.