Scoperta una campagna APT cinese che sfrutta Visual Studio Code per colpire infrastrutture critiche nel Sud Europa.
Autore: Redazione SecurityOpenLab
Nel corso del 2024 i ricercatori dei SentinelLabs di SentinelOne hanno collaborato con Tinexta Cyber per sventare una operazione altamente sofisticata di cyberspionaggio battezzata Operation Digital Eye. La campagna, attribuita a un gruppo APT vicino allo Stato cinese, è stata attiva tra giugno e luglio 2024 e si è concentrata su fornitori di servizi IT B2B del Sud Europa specializzati nella gestione di infrastrutture critiche e nella fornitura di soluzioni di cybersecurity e gestione dati. L’obiettivo degli attaccanti era acquisire accesso a informazioni sensibili nell’ambito di una attività di intelligence o sabotaggio.
Come spiegano gli esperti sul blog ufficiale di SentinelOne, l’Operation Digital Eye ha abusato di strumenti legittimi come Visual Studio Code, un editor di codice disponibile su GitHub, spesso usato per la configurazione di Azure. Si tratta di una scelta peculiare da parte degli attaccanti perché permette loro di mascherare le proprie attività all'interno di processi affidabili e firmati digitalmente da Microsoft, riducendo notevolmente la probabilità di detection da parte dei sistemi di sicurezza tradizionali.
I ricercatori hanno scoperto che gli attaccanti si sono inizialmente concentrati sull’accesso ai server delle vittime sfruttando tecniche di SQL injection. Una volta stabilito il primo accesso, hanno implementato una web shell PHP nota come PHPsert (che si distingue per un design minimalista e un codice sorgente offuscato) che ha permesso loro di eseguire codice da remoto, offuscando le attività grazie a una perfetta integrazione con l’ambiente della vittima.
Per ampliare il loro raggio d’azione all’interno della rete, gli attaccanti hanno inoltre utilizzato una variante personalizzata di Mimikatz soprannominata mimCN che era già nota agli esperti perché precedentemente associata ad altri gruppi APT cinesi. In questo caso è stata sfruttata per estrarre credenziali di rete e accedere ad altri sistemi.
Tutti i passaggi denotano un livello di competenza avanzato degli attaccanti, che hanno saputo adattarsi agli ambienti target facendo uso di strumenti e tecniche già collaudate in precedenti campagne di cyberspionaggio. In particolare, l’uso di mimCN suggerisce l’esistenza di un ecosistema di risorse condivise tra diversi gruppi APT sponsorizzati dallo Stato cinese e di una florida attività di coordinamento.
Un elemento che rafforza l’ipotesi di un coinvolgimento dello Stato cinese è l’analisi della scansione temporale delle operazioni. Tutte le attività sono state condotte durante l’orario lavorativo standard in Cina, esclusivamente nei giorni feriali. Gli analisti hanno inoltre trovato traccia dell’uso di strumenti specifici e di un modus operandi che suggerisce che ad operare fossero professionisti con legami istituzionali.