Il gruppo di hacker cinesi noto come Alloy Taurus sta utilizzando una variante Linux di un backdoor chiamato PingPull e un nuovo strumento non documentato denominato Sword2033 in attacchi informatici mirati contro il Sud Africa e il Nepal.
Alloy Taurus e i suoi obiettivi
Alloy Taurus è un gruppo di attori minacciosi noto per aver attaccato aziende di telecomunicazioni sin dal 2012. Recentemente, gli attacchi di spionaggio informatico condotti da Alloy Taurus hanno ampliato il loro raggio d’azione, includendo istituzioni finanziarie e entità governative.
La variante Linux di PingPull e il nuovo strumento Sword2033
PingPull è un trojan di accesso remoto che utilizza il protocollo Internet Control Message Protocol (ICMP) per le comunicazioni di comando e controllo (C2). La variante Linux del malware ha funzionalità simili alla sua controparte Windows, consentendo di eseguire operazioni sui file e comandi arbitrari. Unit 42 di Palo Alto Networks ha scoperto l’uso recente del backdoor Sword2033, che supporta tre funzioni di base: caricamento ed esfiltrazione di file ed esecuzione di comandi.
Collegamenti tra il malware e Alloy Taurus
Il collegamento tra il malware e Alloy Taurus deriva dal fatto che il dominio utilizzato risolve un indirizzo IP precedentemente identificato come un indicatore attivo di compromissione (IoC) associato a una precedente campagna contro aziende in Asia sudorientale, Europa e Africa.
