Connect with us

Sicurezza Informatica

Earth Estries: l’APT cinese minaccia i settori critici globali

Earth Estries, APT cinese, attacca telecomunicazioni e governi con malware avanzati come GHOSTSPIDER e MASOL RAT.

Published

on

Earth Estries, noto anche come Salt Typhoon o FamousSparrow

Il gruppo cinese Earth Estries, noto anche come Salt Typhoon o FamousSparrow, è emerso come una delle minacce APT (Advanced Persistent Threat) più sofisticate e aggressive dal 2023. Con operazioni mirate in settori strategici come telecomunicazioni, governi e infrastrutture tecnologiche, il gruppo ha già compromesso oltre 20 organizzazioni in tutto il mondo. L’attività del gruppo si estende dal Sud-est asiatico agli Stati Uniti, passando per Medio Oriente, Africa e Sud America, rendendolo una minaccia globale.

Le loro operazioni si basano su tecniche avanzate e strumenti personalizzati, progettati per infiltrarsi nei sistemi, raccogliere dati sensibili e mantenere una presenza nascosta a lungo termine. Con l’uso di vulnerabilità nei server pubblici e malware su misura, Earth Estries rappresenta una delle sfide più complesse per la sicurezza informatica globale.

Tecniche di attacco e strumenti avanzati

Una delle caratteristiche principali di Earth Estries è l’uso di strumenti modulari come i backdoor GHOSTSPIDER, SNAPPYBEE e MASOL RAT. GHOSTSPIDER, scoperto durante attacchi contro compagnie di telecomunicazioni nel Sud-est asiatico, utilizza infrastrutture di comando e controllo (C&C) sofisticate per dirigere e gestire le operazioni del malware. SNAPPYBEE, conosciuto anche come Deed RAT, è una backdoor modulare condiviso con altri gruppi APT cinesi, dimostrando l’uso di strumenti malware-as-a-service da parte degli attaccanti.

MASOL RAT, un altro strumento di Earth Estries, è stato inizialmente individuato nel 2020, ma solo di recente è stato collegato al gruppo. Questo malware cross-platform è stato utilizzato per attaccare dispositivi Linux in reti governative del Sud-est asiatico. La combinazione di questi strumenti consente al gruppo di adattare le proprie tecniche e di condurre operazioni di spionaggio sofisticate.

Un approccio strategico: obiettivi e infrastrutture

Earth Estries utilizza un’infrastruttura C&C gestita da team specializzati, garantendo un controllo capillare delle operazioni. Questo approccio non solo facilita attacchi mirati, ma permette anche la condivisione di risorse e tecnologie con altri gruppi APT cinesi. L’obiettivo primario è raccogliere informazioni strategiche da settori critici come telecomunicazioni, governi, consulenza e trasporti.

Un caso esemplare è rappresentato dall’attacco a un fornitore di servizi per telecomunicazioni in Asia, in cui è stato impiantato il rootkit DEMODEX per ottenere accesso ai sistemi principali. Questo dimostra come Earth Estries non si limiti a colpire i bersagli primari, ma utilizzi anche reti di fornitori e partner come punti di ingresso per ulteriori infiltrazioni.

Motivazioni e obiettivi di lungo termine

Dal 2020, Earth Estries ha mostrato un’evoluzione nella scelta dei bersagli e nelle tattiche. Inizialmente concentrati su governi e ISP, gli attaccanti hanno esteso le operazioni verso consulenti e ONG che collaborano con istituzioni governative statunitensi e militari. Questo cambiamento strategico mira a ottimizzare l’efficienza nella raccolta di dati sensibili, accelerando gli attacchi contro obiettivi di alto valore.

Gli attacchi si concentrano non solo su database e server cloud delle organizzazioni, ma anche su reti di supporto e fornitori. Questa strategia consente agli attaccanti di espandere il loro accesso, riducendo i rischi di rilevamento e aumentando l’impatto complessivo.

Impatto globale e settori colpiti

Le attività di Earth Estries si estendono a una vasta gamma di settori e regioni. I bersagli includono aziende di telecomunicazioni, tecnologia, chimica e trasporti, oltre a enti governativi e ONG. Tra i paesi colpiti figurano Stati Uniti, India, Sudafrica, Brasile, Vietnam e Thailandia. L’estensione geografica e settoriale delle loro operazioni dimostra l’ampiezza della loro strategia, progettata per raccogliere informazioni sensibili e destabilizzare infrastrutture critiche.

Conclusione: una sfida crescente per la sicurezza informatica

Earth Estries rappresenta una delle minacce più complesse e persistenti nel panorama attuale della sicurezza informatica come ha scoperto TrendMicro. Con tecniche avanzate, infrastrutture complesse e una strategia di lungo termine, il gruppo continua a colpire settori critici in tutto il mondo. La lotta contro queste minacce richiede un approccio coordinato e soluzioni tecnologiche innovative per proteggere le infrastrutture e i dati sensibili.