Hacker filo-cinesi sfruttano le Group Policy di Windows per diffondere malware spia

Gruppo di minacce informatiche cinese scoperto
Un nuovo gruppo hacker cinese, noto come LongNosedGoblin, è stato scoperto mentre attaccava enti governativi in Asia sud-orientale e Giappone. Il fine di questi attacchi è lo spionaggio informatico, secondo un rapporto pubblicato oggi dalla società di sicurezza informatica slovacca ESET. Il gruppo è stato attivo almeno dal settembre 2023.

Tattiche e strumenti di attacco
LongNosedGoblin utilizza le politiche di gruppo per distribuire malware nella rete compromessa e servizi cloud come Microsoft OneDrive e Google Drive come server di comando e controllo. Gli ricercatori di sicurezza hanno identificato una serie di strumenti personalizzati, tra cui NosyHistorian, NosyDoor, NosyStealer e NosyDownloader. Questi strumenti permettono di raccogliere dati dai browser, eseguire comandi e rubare file. La catena di esecuzione di NosyDoor è particolarmente interessante, in quanto utilizza Microsoft OneDrive come server di comando e controllo.

Attacchi e vittime
ESET ha rilevato l’attività del gruppo per la prima volta nel febbraio 2024 su un sistema di un ente governativo in Asia sud-orientale. L’analisi ha rivelato che molti sistemi all’interno della stessa organizzazione sono stati infettati con il malware. Tuttavia, solo una parte di questi sistemi è stata infettata con NosyDoor, suggerendo un approccio più mirato. I ricercatori hanno anche identificato altre tools utilizzate dal gruppo, tra cui un proxy SOCKS5 inverso e un caricatore Cobalt Strike.