Grazie a un’indagine congiunta tra gli esperti di SentinelLabs e QGroup GmbH è stato possibile individuare un nuovo e misterioso gruppo APT. Questo, a quanto pare, sembra essere impegnato in una campagna di cyberspionaggio su vasta scala.
Secondo il ricercatore Aleksandar Milenkoski di SentinelLabs, il gruppo di hacker sta utilizzando una sofisticata backdoor modulare basata su Lua, un linguaggio di programmazione multipiattaforma, conosciuto per essere molto leggero.
Per Milenkoski “Sandman ha implementato una nuova backdoor modulare utilizzando la piattaforma LuaJIT, un evento relativamente raro nel panorama delle minacce“. Lo stesso ha poi sottolineato come l’intera operazione sia caratterizzata da un approccio cauto, con movimenti minimi e strategici all’interno delle reti infette. L’obiettivo principale dei cybercriminali, a quanto pare, è proprio quello di ridurre al minimo il rischio di rilevamento.
Il gruppo, battezzato come Sandman, ha preso di mira in prevalenza i fornitori di telecomunicazioni, con obiettivi individuati in Medio Oriente, Europa occidentale e subcontinente dell’Asia meridionale.
Sandman e LuaDream: gruppo APT e malware avvolti da un alone di mistero
Durante una presentazione alla conferenza sulla sicurezza LABScon, Milenkoski ha spiegato che il gruppo sta utilizzando un malware chiamato LuaDream in grado di esfiltrare informazioni sul sistema e sull’utente, aprendo la strada a successivi attacchi.
“L’implementazione di LuaDream indica un progetto ben eseguito, mantenuto e sviluppato attivamente di notevole portata“, ha affermato il ricercatore, sottolineando quando sia difficile definire l’identità o anche solo la provenienza del gruppo APT.
“I 36 componenti distinti di LuaDream che abbiamo identificato e il supporto per più protocolli per la comunicazione C2 indicano un progetto di portata considerevole. La catena di staging di LuaDream è progettata per eludere il rilevamento e contrastare l’analisi durante la distribuzione del malware direttamente in memoria” ha poi aggiunto lo stesso.
SentinelLabs ha chiarito che il malware in questione non effettua backdoor sulla piattaforma LuaJIT. I ricercatori hanno richiamato l’attenzione anche sull’utilizzo del linguaggio di programmazione Lua, sottolineando che l’utilizzo di LuaJIT nel contesto del malware APT è molto raro.
È interessante notare che il malware LuaDream presenta caratteristiche che lo collegano a un altro ceppo di malware denominato DreamLand, identificato da Kaspersky nello scorso mese di marzo durante una campagna APT contro un ente governativo in Pakistan.
Tutto ciò potrebbe dimostrare, a detta di Milenkoski, che il gruppo Sandman possa essere attivo già dal 2022.