Passa ai contenuti principali

Cyberspionaggio su vasta scala, le nuove varianti di PlugX e Bookworm puntano ai provider in Asia

In queste ore è emerso un’operazione cibernetica sofisticata attribuita a gruppi legati alla Cina, che distribuisce versioni aggiornate dei malware PlugX e Bookworm contro operatori telecom e infrastrutture nei paesi dell’Asia centrale e nel Sud-Est (ASEAN). 

La nuova versione di PlugX sfrutta tecniche avanzate: DLL side-loading tramite app legittime, cifratura XOR-RC4-RtlDecompressBuffer, e chiavi RC4, tutte caratteristiche che risultano condivise — almeno parzialmente — con le backdoor RainyDay e Turian. Ciò suggerisce un’evoluzione dei tool tradizionali o un’integrazione tra arsenali informatici diversi. 

Il team Unit 42 di Palo Alto ha approfondito il ruolo di Bookworm, un RAT modulare in uso da tempo presso il gruppo Mustang Panda (anche noto come Stately Taurus). Bookworm è progettato per scaricare moduli aggiuntivi da server di comando e controllo (C2), permettendo ai suoi operatori di espandere le funzionalità a seconda dell’obiettivo. Le versioni più recenti utilizzano tecniche sofisticate, come la codifica dello shellcode in stringhe UUID da decodificare ed eseguire in memoria, ciò che complica l’analisi statica. 

Non è la prima volta che PlugX entra nell’occhio del ciclone: agli inizi del 2025, il Dipartimento di Giustizia degli Stati Uniti e l’FBI hanno condotto un’operazione internazionale che ha rimosso PlugX da oltre 4.200 computer infetti, collegandolo al gruppo Mustang Panda e al finanziamento da parte del governo cinese. 

I ricercatori ritengono che gli attacchi attuali possano essere parte di una strategia prolungata di sorveglianza e penetrazione strategica nelle infrastrutture digitali di regioni di interesse geopolitico. L’uso simultaneo di PlugX e Bookworm indica che l’attore minaccioso dispone di un arsenale diversificato e interoperabile. 




In un contesto in cui le reti telecom sono fondamentali per la governance digitale e la connettività nazionale, queste campagne rappresentano una minaccia persistente e insidiosa. Le contromisure devono passare da un semplice antidoto reattivo a una strategia difensiva integrata, con threat hunting avanzato, monitoraggio comportamentale e cooperazione internazionale nel comparto della cyber intelligence.
Tag:

Commenti

Posta un commento

Popolari

Il “colpo di fortuna” (e la tecnica) che ha riportato indietro 3 milioni di dollari in Bitcoin. Un wallet perduto e ritrovato grazie a un bug in un password manager

Immagina di aver messo via 43,6 BTC nel 2013, aver generato una password lunghissima con un password manager “per sicurezza”, poi perdere il file che la conteneva — e risvegliarti 11 anni dopo con la possibilità concreta di non rivedere mai più quei soldi. È successo davvero, e la storia è un perfetto mix tra noir informatico, reverse engineering e una lezione pratica di cyber-igiene. La vicenda ha come protagonista un utente anonimo che aveva usato RoboForm per creare una password di 20 caratteri e salvarla in un file cifrato. Quel file, col tempo, si è corrotto e l’accesso al wallet è diventato impossibile. Anni dopo, due ricercatori — tra cui l’ingegnere Joe Grand, noto come “Kingpin” — hanno preso in mano la situazione. Analizzando una vecchia versione del software, hanno scoperto che il generatore di password dipendeva in modo prevedibile dalla data e dall’ora del computer. In pratica, il sistema non era così casuale come sembrava: conoscendo il periodo di utilizzo e i parametri s...
Posta un commento
Continua a leggere »

Cisco ASA sotto attacco, due zero-day sfruttati per prendere il controllo dei firewall e impiantare malware persistente

Negli ultimi giorni è uscita una notizia che vale la pena leggere con attenzione: sono stati sfruttati in attacco dei “zero-day” contro i firewall Cisco della famiglia Adaptive Security Appliance (ASA) e prodotti correlati, e diversi avvisi ufficiali invitano a intervenire subito. La storia è stata riportata da più testate tecniche e da Cisco stessa, che ha pubblicato patch e dettagli sulle falle coinvolte. Cosa è successo, in parole semplici? Alcuni bug nel servizio web/VPN dei dispositivi ASA permettono a un attaccante — inviando richieste appositamente costruite — di superare i controlli e far girare codice sul dispositivo. In pratica, chi sfrutta questi bug può eseguire comandi come se fosse l’amministratore del firewall. Cisco ha identificato più CVE coinvolte e ha confermato che almeno due di queste (quelle catalogate come sfruttate “in the wild”) sono state usate dagli aggressori prima che le correzioni fossero pubblicate. La cosa che preoccupa di più non è solo il controllo tem...
Posta un commento
Continua a leggere »

Stati Uniti, centinaia di server SIM sequestrati, il Secret Service smantella la rete, ma resta il dubbio sui veri nemici

Negli Stati Uniti, il 23 settembre 2025, il Secret Service ha annunciato di aver smantellato una rete clandestina composta da oltre 300 server SIM e 100.000 schede SIM nelle immediate vicinanze di New York, entro un raggio di 35 miglia dal quartier generale delle Nazioni Unite. Secondo l’agenzia, quella rete costituiva una minaccia imminente alla sicurezza delle comunicazioni, con capacità di intromettersi in traffico critico, mandare messaggi anonimi e criptati, persino compromettere celle telefoniche e bloccare chiamate d'emergenza. Le autorità americane affermano che la rete fosse legata a “minacce telematiche” rivolte a funzionari governativi statunitensi di alto profilo e che le prime indagini mostrino che attori stranieri avessero comunicazioni con persone già note alle autorità federali. L’operazione è stata giustificata come misura preventiva, vista la concomitanza con l’Assemblea Generale dell’ONU, in cui numerosi leader mondiali erano attesi, e la vicinanza geografica del...
Posta un commento
Continua a leggere »