Negli scorsi giorni il gruppo hacker cinese noto come APT17 (o altri nomi come Elderwood, Bronze Keystone e TEMP.Avengers) sembra aver preso di mira il nostro paese. Protagonista della campagna, che prende di mira indistintamente aziende ed enti governativi italiani, è il malware 9002 RAT.
Come confermato dalla società di sicurezza informatica TG Soft, gli attacchi mirati si sono concentrati in due distinti giorni, il 24 giugno e il 2 luglio, creano non pochi problemi agli obiettivi. Stando a quanto rivelato dagli esperti, nel primo caso il malware è stato diffuso attraverso un documento Office, mentre nel secondo caso è stato adottato un semplice link.
In entrambi i casi gli hacker di APT17 hanno spinto le vittime ad installare una versione di Skyper for Business manipolata ad arte, sfruttando un dominio governativo italiano, andando poi in realtà a distribuire 9002 RAT. Il tutto attraverso una strategia di tipo spear phishing.
APT17, l’Italia nel mirino: allarme 9002 RAT
Una volta avviato l’eseguibile, questo attiva un file Java Archive (JAR) tramite Visual Basic Script (VBS). In poche parole, oltre al software legittimo, viene installata un’app Java malevola che avvia l’infezione. 9002 RAT è dotato di funzioni avanzate ed è in grado di monitorare il traffico di rete, acquisire screenshot e interagire in diversi altri modi con il computer infettato.
Altra caratteristica di questo temibile malware è la suo struttura modulare il che permette agli hacker di dotare lo stesso di diverse funzionalità a seconda della campagna specifica in cui viene utilizzato. Così come con altri casi simili, una buona dose di prudenza e un ottimo antivirus possono evitare eventuali infezioni e potenziali disastri.
APT17 è considerato un gruppo storico nel contesto dell’hacking. Questi sono stati individuati per la prima volta nell’ormai lontano 2013, grazie al lavoro di Mandiant (che all’epoca si chiamava FireEye).