Il gruppo di attori minacciosi noto come Redfly è stato collegato a un compromesso di una rete nazionale situata in un paese asiatico non specificato, durato per circa sei mesi all’inizio di quest’anno, utilizzando un malware noto come ShadowPad. Secondo quanto riportato dal Symantec Threat Hunter Team, parte di Broadcom, gli aggressori sono riusciti a rubare credenziali e compromettere diversi computer all’interno della rete dell’organizzazione. Questo attacco rappresenta l’ultimo di una serie di intrusioni di spionaggio contro obiettivi di infrastrutture nazionali critiche.
Dettagli sul malware ShadowPad
ShadowPad, noto anche come PoisonPlug, è un malware modulare capace di caricare plugin aggiuntivi dinamicamente da un server remoto per raccogliere dati sensibili dalle reti violate. È stato ampiamente utilizzato da una crescente lista di gruppi statali con legami cinesi dal 2019 per attacchi mirati a organizzazioni in vari settori industriali. ShadowPad viene decifrato in memoria utilizzando un algoritmo di decrittografia personalizzato, estrae informazioni sull’host, esegue comandi, interagisce con il sistema di file e il registro, e distribuisce nuovi moduli per estendere la funzionalità.
Cronologia dell’attacco
Il primo segno dell’attacco contro l’entità asiatica è stato registrato il 23 febbraio 2023, quando ShadowPad è stato eseguito su un singolo computer, seguito dall’attivazione del backdoor tre mesi dopo, il 17 maggio. Gli attori minacciosi hanno anche utilizzato uno strumento chiamato Packerloader per eseguire shellcode arbitrario, modificando le autorizzazioni per un file driver noto come dump_diskfs.sys per concedere l’accesso a tutti gli utenti, aumentando la possibilità che il driver sia stato utilizzato per creare dump del sistema di file per una successiva esfiltrazione.
Connessione con il gruppo APT41
Symantec ha rilevato che la campagna condivide infrastrutture e strumenti con attività precedentemente identificate attribuite al gruppo sponsorizzato dallo stato cinese noto come APT41 (o Winnti), con Redfly che si concentra quasi esclusivamente sul targeting delle entità di infrastrutture critiche. Tuttavia, non ci sono prove che il gruppo hacker abbia messo in atto attacchi distruttivi fino ad oggi.
Implicazioni potenziali
La presenza a lungo termine di attori minacciosi su una rete nazionale rappresenta un chiaro rischio di attacchi volti a interrompere l’approvvigionamento di energia e altri servizi vitali in altri stati durante periodi di crescente tensione politica, ha affermato l’azienda.