È stato battezzato Liminal Panda il gruppo di cyber spionaggio sponsorizzato dallo Stato cinese scoperto da CrowdStrike, che lo reputa una seria minaccia per il settore delle telecomunicazioni. Attivo almeno dal 2020, il gruppo si distingue per la dimostrata conoscenza approfondita delle reti di telecomunicazioni, inclusi i collegamenti tra diversi operatori, che viene sfruttata per condurre attacchi mirati volti alla sottrazione di dati sensibili. Le vittime principali sono gli operatori di telecomunicazioni, ma, attraverso di essi, il gruppo è in grado di raggiungere obiettivi secondari in diverse regioni geografiche ai danni dei quali vengono attuate operazioni di spionaggio finalizzate alla raccolta di informazioni strategiche.

Tecniche e tattiche

Liminal Panda si distingue per l'impiego di una combinazione di strumenti personalizzati, software open source e proxy per mascherare le proprie attività e aggirare i sistemi di sicurezza. La conoscenza approfondita dei protocolli di comunicazione mobile, come il GSM, consente a questi threat actor di emulare tali protocolli per stabilire canali di comunicazione con i propri server di comando e controllo e per sviluppare strumenti che estraggono informazioni sugli abbonati, metadati delle chiamate e messaggi di testo. Questa capacità di intercettare e manipolare le comunicazioni mobili rappresenta una minaccia significativa per la privacy e la sicurezza degli utenti.

Un aspetto peculiare di Liminal Panda è la sua metodologia di attacco, che spesso sfrutta le relazioni di fiducia tra gli operatori di telecomunicazioni e le lacune nelle policy di sicurezza. In questo modo, gli attaccanti riescono ad accedere all'infrastruttura di rete da host esterni, compromettendo sistemi considerati inaccessibili dalla rete pubblica. La natura degli strumenti utilizzati e gli obiettivi perseguiti suggeriscono che il gruppo non sia interessato al guadagno finanziario, ma piuttosto all'acquisizione di informazioni strategiche a supporto delle attività di spionaggio cinesi.

Liminal Panda e la Cina

L’attribuzione è da prendere con cautela, perché, come specificano gli stessi analisti di CrowdStrike, sebbene i fattori finora rilevati suggeriscano un legame con la Cina, non sono sufficientemente esclusivi per confermare con certezza tale l'attribuzione. Tra i fattori considerati, uno tattico riguarda la scelta degli obiettivi, che sono situati in Paesi coinvolti nella Belt and Road Initiative (BRI), ossia l'iniziativa strategica cinese volta a creare opportunità economiche in linea con gli interessi di Pechino.

Sul piano tecnico è invece stato dato peso all'utilizzo di stringhe Pinyin (un sistema fonetico che utilizza le lettere dell'alfabeto latino per indicare la pronuncia dei suoni della lingua cinese), come chiavi di cifratura e password per alcuni degli strumenti. È poi da considerare l'impiego di infrastrutture di hosting fornite da Vultr, un provider spesso utilizzato, sebbene non esclusivamente, dai threat actor legati alla Cina.