Misteriose bande di cybercriminali prendono di mira aziende cinesi

Secondo Proofpoint, le aziende cinesi sono vittima di un attacco informatico massiccio che, in molti casi, vede l’utilizzo di nuovi ceppi malware, finora sconosciuti.

Si parla di circa 30 campagne individuate quest’anno, tutte che prendono di mira in modo sistematico le aziende del paese asiatico. Le modalità d’attacco appaiono diverse a seconda del caso, con ampio utilizzo di e-mail phishing e tecniche raffinate di social engineering.

Nell’arsenale a disposizione dei cybercriminali, Proofpoint ha individuato anche un nuovo agente malevolo, soprannominato ValleyRAT. Stando gli esperti dell’azienda specializzata in sicurezza informatica “Le campagne che distribuiscono questo malware sono state condotte in cinese e, seguendo la tendenza di altre campagne malware cinesi, la maggior parte ha utilizzato temi di fatturazione relativi a varie aziende di tale paese“.

Tra i tanti casi esaminati, spicca anche una nuova variante di Gh0stRAT, battezzata Sainbox dai ricercatori. Per Proofpoint “Quasi tutte le campagne Sainbox osservate utilizzano  esche a tema fattura, che falsificavano gli uffici cinesi e le società di fatturazione”. Gli stessi esperti hanno poi spiegato come “Le e-mail venivano generalmente inviate da Outlook o altri indirizzi gratuiti e contengono URL o allegati Excel contenenti URL collegati a un file eseguibile zippato che installa Sainbox“.

Le analisi effettuate da Proofpoint sono state eseguite tra dicembre 2022 e lo scorso mese di maggio.

Una sola mano dietro tutti questi attacchi verso aziende cinesi?

Le sorprese per i ricercatori, però, non finiscono qui: in questo contesto di assedio nei confronti delle aziende cinesi, vi è anche il malware Purple Fox.  Secondo gli analisti, questo agente malevolo è in grado di lavorare anche nel contesto giapponese, mettendo dunque in crisi anche attività commerciali sul territorio nipponico.

Dietro questa ondata di attacchi si nasconde un’unica mano? Secondo gli esperti, potrebbe trattarsi di più gruppi di cybercriminali che, in modo più o meno stretto, tendono a condividere strumenti e competenze.

Allo stato attuale, Proofpoint “Non attribuisce tutte le campagne malware a tema cinese allo stesso attore delle minacce, ma alcuni cluster di attività si sovrappongono, suggerendo che gli autori delle minacce potrebbero utilizzare la stessa infrastruttura per diffondere più famiglie di malware“.