I ricercatori di Symantec hanno individuato tracce di un attacco effettuato dal gruppo Redfly contro alcune infrastrutture critiche in Asia. L’obiettivo dei cybercriminali è rubare le credenziali e infettare i computer della rete, utilizzando il malware ShadowPad. A fine maggio, Microsoft aveva scoperto un simile attacco contro le infrastrutture statunitensi ad opera del gruppo Volt Typhoon.
ShadowPad e altri tool per spionaggio
ShadowPad è un RAT (Remote Access Trojan) modulare utilizzato da diversi gruppi di cybercriminali. L’attacco più recente, durato circa sei mesi (dal 28 febbraio al 3 agosto 2023), è stato effettuato da Redfly contro un’azienda asiatica che gestisce la rete elettrica nazionale.
Non è noto come sia avvenuto l’ingresso nei computer (che non dovrebbero essere collegati ad Internet). Gli esperti di Symantec hanno scoperto che i componenti di ShadowPad (file .exe
e .dll
) sono stati copiati su disco in una directory VMware (ovviamente non fanno parte dei software di virtualizzazione dell’azienda recentemente acquisita da Broadcom).
La persistenza è stata ottenuta creando un servizio che viene eseguito all’avvio di Windows. I cybercriminali hanno utilizzando anche il tool Packerloader e un keylogger. Packerloader carica ed esegue una shellcode che consente di eseguire file e comandi sul computer. Il keylogger serve ovviamente per registrare i tasti premuti e quindi intercettare eventuali password. Contro quest’ultimo tipo di minaccia, ovvero i virus blocca tastiera, è bene munirsi di antivirus efficaci.
I cybercriminali hanno eseguito una serie di attività tra il 28 febbraio e il 3 agosto, tra cui il dump delle credenziali da LSASS e dal registro di Windows. Le tecniche utilizzate sono tipiche del cyberspionaggio. Non è noto se il gruppo Redfly è stato finanziato da qualche governo.