Emperor Dragonfly, un noto gruppo di cybercriminali sponsorizzato dallo stato cinese, ha recentemente adottato una tattica insolita: ha distribuito un ransomware all'interno della rete di un obiettivo.
Un rapporto del Threat Hunter Team di Symantec, che ha analizzato l'attacco alla fine del 2024, ha evidenziato come il gruppo abbia seguito il suo schema abituale in più occasioni, ovvero il caricamento laterale di file DLL dannosi tramite un eseguibile legittimo di Toshiba, con l'obiettivo di installare backdoor e garantire la persistenza nel sistema. Come spesso accade con gli attacchi sponsorizzati da stati, l'intento principale era il cyber-spionaggio.
Le vittime erano perlopiù ministeri degli esteri di paesi dell'Europa orientale e altre agenzie governative simili. Tuttavia, sempre alla fine del 2024, Emperor Dragonfly è stato osservato mentre utilizzava la stessa tecnica per mantenere l’accesso a un sistema, ma con una differenza significativa: invece di limitarsi allo spionaggio, ha rilasciato un ransomware all'interno della rete di un'azienda asiatica di software e servizi.
Il gruppo ha impiegato il ransomware RA World, chiedendo un riscatto di 2 milioni di dollari, ridotto a 1 milione se pagato entro tre giorni.
Una distrazione
Secondo Symantec, questa strategia è piuttosto insolita per i gruppi di hacker sponsorizzati dallo stato cinese. Gli attori nordcoreani, infatti, fanno spesso uso di ransomware per finanziare le loro agenzie governative e i programmi militari con i proventi dei riscatti. I gruppi cinesi, invece, sono solitamente più focalizzati sul cyber-spionaggio.
In questo caso, Symantec sospetta che l’attacco ransomware sia stato utilizzato come diversivo per nascondere un'operazione più ampia, probabilmente legata allo spionaggio.
Il vettore d’attacco iniziale non è stato divulgato, ma i criminali informatici hanno dichiarato di aver sfruttato una vulnerabilità nota nel sistema Palo Alto PAN-OS (CVE-2024-0012) per infiltrarsi nell’infrastruttura della vittima.
“I cybercriminali hanno affermato di aver ottenuto credenziali amministrative dall’intranet dell’azienda prima di rubare le credenziali Amazon S3 dal server Veeam, utilizzandole per accedere ai bucket S3 e sottrarre dati prima di crittografare i computer,” hanno spiegato i ricercatori.
L’ultimo passaggio dell’attacco è stato l’utilizzo della stessa tecnica di caricamento laterale di DLL, già impiegata in precedenza dal gruppo per stabilire la persistenza nei sistemi compromessi.
