Da fine 2022 a inizio 2023, un attore di minaccia a livello statale cinese ha utilizzato un nuovo malware per condurre attività di spionaggio contro i ministeri degli esteri in Nord e Sud America. Il gruppo in questione, APT15 (noto anche come Flea, Nickel, Vixen Panda, KE3CHANG, Royal APT e Playful Dragon), ha già un notevole curriculum di attacchi a obiettivi governativi, missioni diplomatiche e ambasciate, probabilmente per scopi di raccolta di informazioni.
Gli obiettivi di APT15
La recente campagna si è concentrata principalmente sui ministeri degli esteri, ma ha incluso anche un dipartimento finanziario governativo e una società. Tutti gli obiettivi erano basati nelle Americhe, una regione che “sembra essere diventata più un focus per il gruppo negli ultimi tempi”, hanno scritto i ricercatori.
Gli strumenti utilizzati da APT15
Per portare avanti il loro spionaggio, APT15 ha impiegato oltre una dozzina di strumenti, sia maligni che non. Tra il suo arsenale: Mimikatz e due delle sue varianti, quattro Web shell tra cui AntSword e China Chopper, e CVE-2020-1472, una vulnerabilità di escalation di privilegi “Critica” di tre anni nel processo del server Windows Netlogon.
Graphican: il nuovo strumento di APT15
L’unico strumento unico degli attaccanti era Graphican, una nuova variante del loro vecchio backdoor Trojan utilizzato per eseguire comandi e scaricare file dalle macchine vittime. “Questo backdoor ha evoluto alcuni dei suoi meccanismi anti-rilevamento”, riconosce Avishai Avivi, CISO di SafeBreach. “Detto questo, il fatto che gli attori di minaccia spesso utilizzino le stesse tecniche consente alle aziende di testare proattivamente le loro difese.”