È stata scoperta una campagna di spionaggio informatico che sfrutta il Festival Monlam per mirare ai tibetani in vari paesi e territori. I responsabili hanno violato il sito web dell’organizzatore del festival in India, inserendo codice dannoso per lanciare un attacco di tipo watering-hole
Redazione
ESET, il leader europeo globale nel settore della cybersecurity, ha rivelato una sofisticata campagna di cyberspionaggio che ha preso di mira i tibetani in vari paesi e territori dal settembre 2023.
Questa operazione, condotta dal gruppo APT Evasive Panda, ha utilizzato un “watering hole” mirato e ha compromesso la catena di distribuzione per diffondere installer infetti da trojan di software di traduzione in lingua tibetana.
Gli aggressori hanno mirato a diffondere downloader maligni sia per piattaforme Windows che macOS, al fine di compromettere i visitatori del sito web con MgBot e una backdoor precedentemente non documentata, denominata Nightdoor da ESET.
La campagna ha sfruttato il Monlam Festival, un importante raduno religioso tibetano, per colpire i tibetani in diversi paesi e territori, tra cui India, Taiwan, Hong Kong, Australia e Stati Uniti.
ESET ha individuato questa operazione di cyberspionaggio nel gennaio 2024. Il sito web utilizzato come “watering hole” è appartenuto al Kagyu International Monlam Trust, un’organizzazione con sede in India che promuove il buddismo tibetano a livello internazionale.
L’attacco potrebbe essere stato orchestrato per sfruttare l’interesse internazionale per il Kagyu Monlam Festival, che si tiene annualmente a gennaio nella città di Bodhgaya, in India.
Tra le organizzazioni colpite si annovera anche il Georgia Institute of Technology negli Stati Uniti, precedentemente associato a questioni riguardanti l’influenza del Partito Comunista Cinese sugli istituti educativi statunitensi.
ESET ha individuato il primo attacco nel settembre 2023, quando gli aggressori hanno compromesso il sito web di una società indiana che sviluppa software di traduzione in lingua tibetana. Hanno quindi installato applicazioni infette con trojan che distribuiscono downloader dannosi per entrambe le piattaforme.
Gli aggressori hanno anche utilizzato il sito web Tibetpost, un portale di notizie tibetane, per ospitare i payload scaricati dai siti dannosi.
Anh Ho, ricercatore di ESET, ha spiegato che gli aggressori hanno utilizzato diversi strumenti, tra cui MgBot e Nightdoor, per condurre gli attacchi. La backdoor Nightdoor è una nuova aggiunta al toolkit di Evasive Panda e è stata utilizzata per compromettere reti nell’Asia orientale.
Il gruppo APT Evasive Panda è attivo dal 2012 e è allineato con la Cina. Ha condotto operazioni di cyberspionaggio in Cina continentale, Hong Kong, Macao e Nigeria.
Le sue attività sono state osservate anche nel sud-est asiatico, con particolare riferimento a Cina, Macao, Myanmar, Filippine, Taiwan e Vietnam.
Il gruppo utilizza un framework malware personalizzato con un’architettura modulare che gli consente di migliorare costantemente le proprie capacità di spionaggio.
ESET ha anche osservato che Evasive Panda è in grado di distribuire le sue backdoor attraverso attacchi “adversary-in-the-middle”, che dirottano gli aggiornamenti di software legittimi.