Check Point Research ha rilevato un’ondata di attacchi persistenti avanzati (APT) mirati ai libici, utilizzando un malware chiamato “Stealth Soldier” che svolge funzioni di sorveglianza. Questo malware conduce funzioni di sorveglianza come l’esfiltrazione di file, la registrazione dello schermo e del microfono, il logging dei tasti premuti e il furto di informazioni dal browser.
Funzionalità del malware Stealth Soldier
Il malware Stealth Soldier aggiunge anche un backdoor modulare personalizzato e non documentato. I ricercatori sostengono che la versione più recente è stata probabilmente consegnata a febbraio. La versione più vecchia è stata compilata nell’ottobre dell’anno scorso e si ritiene che la rete di comando e controllo (C2) faccia parte di un insieme più ampio di infrastrutture, utilizzate per campagne di spear-phishing contro entità governative.
Collegamenti con il passato?
L’infrastruttura di Stealth Soldier ha alcuni sovrapposizioni con l’infrastruttura utilizzata nella campagna “Eye on the Nile”, che operava contro obiettivi egiziani nel 2019. I ricercatori ritengono che questa sia la prima possibile ricomparsa di questo attore della minaccia da allora. Tuttavia, la versione 8 del C2 nel malware Stealth Soldier è stata risolta anche da più domini “Eye on the Nile”, secondo i ricercatori di Check Point, mentre sono state individuate anche diverse sovrapposizioni di infrastrutture con domini noti di Eye on the Nile.
Un focus raro sulla Libia
I ricercatori hanno riconosciuto che la Libia non è spesso al centro dei rapporti APT, ma l’indagine suggerisce che gli aggressori dietro questa campagna sono politicamente motivati e stanno utilizzando il malware Stealth Soldier e la significativa rete di domini di phishing per condurre operazioni di sorveglianza e spionaggio contro obiettivi libici.