I ricercatori di Trend Micro hanno scoperto una sofisticata campagna di hacking che prende di mira le organizzazioni governative in tutto il mondo. Gli attacchi, rilevati inizialmente nel 2022, sono effettuati da un gruppo di cybercriminali cinesi denominato Earth Krahang. L’obiettivo è installare backdoor a scopo di cyberspionaggio.
Colpite 70 organizzazioni in 23 paesi
In base alle rilevazioni di Trend Micro, i cybercriminali hanno effettuato attacchi contro 116 organizzazioni in 45 paesi e sono riusciti ad accedere ai sistemi di 70 organizzazioni in 23 paesi, principalmente in Asia, ma anche in Europa, Africa e America. Tra i bersagli preferiti ci sono agenzie governative e ministeri degli affari esteri.
La catena di infezione inizia con la scansione dei server accessibili da Internet tramite tool open source. In questo modo hanno individuato server non aggiornati e sfruttato varie vulnerabilità, tra cui quelle di Openfire e Oracle Web Applications Desktop Integrator.
I cybercriminali hanno successivamente installato web shell e rubato le credenziali degli account email. Usando questi ultimi hanno inviato email di spear phishing. Le ignare vittime hanno quindi aperto gli allegati infetti o cliccato sui link, causando l’installazione della backdoor e la sua diffusione agli altri computer delle rete.
Per mantenere l’accesso è stato installato anche un server VPN SoftEther. Tramite vari malware, il gruppo Earth Krahang ha esfiltrato numerosi dati (email e documenti), catturato screenshot e registrato i tasti premuti. I ricercatori di Trend Micro ipotizzano che i cybercriminali eseguono gli attacchi per conto di I-Soon, un’azienda cinese che offre servizi di sicurezza al governo.