Il Gruppo di Hacker Earth Estries prende di mira le Industrie Globali in Campagne di Spionaggio

Earth Estries, un gruppo di hacker cinesi, prende di mira le industrie globali con malware avanzati, sfruttando vulnerabilità e conducendo attività di spionaggio a lungo termine nei settori critici.

Salt Typhoon ha recentemente attirato l’attenzione per una campagna di spionaggio legata alla Cina che ha compromesso giganti delle telecomunicazioni statunitensi come Verizon, AT&T, Lumen Technologies e T-Mobile, come riportato in The Record. Gli aggressori hanno apparentemente avuto accesso ai dati delle chiamate dei clienti, concentrandosi su individui legati a attività governative o politiche.

Lunedì, la società di cybersecurity Trend Micro ha segnalato un’altra campagna collegata a Earth Estries, il loro termine per Salt Typhoon, che prende di mira le telecomunicazioni del Sud-Est asiatico con un nuovo strumento backdoor chiamato GhostSpider.

Il gruppo cinese di cyber-spionaggio, Earth Estries, ha preso di mira settori critici a livello globale, tra cui le telecomunicazioni e i settori governativi, dal 2023.

Il gruppo ha infiltrato oltre 20 organizzazioni negli Stati Uniti, nell’area Asia-Pacifico, nel Medio Oriente e in Sud Africa, impiegando tecniche avanzate per condurre operazioni di spionaggio a lungo termine. Le vittime includono anche aziende nel settore tecnologico, della consulenza, chimico e dei trasporti, così come organizzazioni non profit e agenzie governative.

Earth Estries sfrutta le vulnerabilità nei server pubblici per ottenere un accesso iniziale, utilizzando strumenti di sistema legittimi, noti come “binari viventi nel terreno”, per muoversi inosservati all’interno delle reti.

Una volta all’interno, il gruppo implementa malware personalizzati come GHOSTSPIDER, SNAPPYBEE e MASOL RAT per stabilire il controllo ed estrarre informazioni sensibili.

Attacchi recenti hanno rivelato che GHOSTSPIDER, un backdoor modulare, è progettato per caricare diversi strumenti per compiti specifici, permettendo al gruppo di adattare le sue tattiche evitando il rilevamento. Le operazioni del gruppo mostrano un alto livello di coordinazione, con diversi team che gestiscono aspetti specifici delle loro campagne.

Le sovrapposizioni nelle loro tattiche, tecniche e procedure con altri gruppi di hacker cinesi suggeriscono l’uso di strumenti condivisi, possibilmente attraverso mercati neri che offrono malware come servizio.

Le indagini su Earth Estries hanno messo in evidenza la loro attenzione per le reti di telecomunicazioni e governative, spesso prendendo di mira i sistemi dei fornitori per ottenere un accesso indiretto ai loro obiettivi primari.

In un caso, hanno utilizzato il rootkit DEMODEX per compromettere macchine appartenenti a un importante contraente di telecomunicazioni, permettendo loro di espandere il loro raggio d’azione in modo non rilevato.

Gli analisti notano che le operazioni di Earth Estries si estendono dai dispositivi periferici ai sistemi cloud, rendendoli particolarmente difficili da identificare e mitigare.

Le loro tecniche includono lo sfruttamento delle vulnerabilità dei server e l’impiego di strumenti sofisticati per mantenere la persistenza all’interno delle reti dei loro obiettivi. Gli esperti avvertono che le attività di Earth Estries dimostrano la crescente complessità delle campagne di cyber-spionaggio.

Si esorta le organizzazioni a rafforzare le loro difese di cybersecurity affrontando le vulnerabilità note, monitorando l’attività della rete e implementando sistemi avanzati di rilevamento delle minacce per rilevare e bloccare gli attacchi in una fase precoce del processo.

Trend Micro sottolinea la necessità di misure proattive poiché Earth Estries continua a evolvere le sue strategie, rappresentando una grave minaccia per le industrie globali e i governi allo stesso modo.