Il gruppo di minacce informatiche Winnti, noto per essere affiliato alla Cina, è stato collegato a una nuova campagna di cyber spionaggio chiamata RevivalStone, che ha preso di mira aziende giapponesi nei settori manifatturiero, dei materiali e dell'energia a marzo 2024. Questa attività è stata dettagliata dalla società di sicurezza informatica giapponese LAC e presenta sovrapposizioni con un cluster di minacce monitorato da Trend Micro come Earth Freybug. Questo cluster è stato valutato come una sottosezione del gruppo di spionaggio APT41, noto anche come Operation CuckooBees da Cybereason, e come Blackfly da Symantec.
APT41
APT41 è stato descritto come un attore altamente abile e metodico, capace di condurre attacchi di spionaggio e avvelenare la catena di approvvigionamento. Le sue campagne sono spesso progettate per essere furtive, utilizzando una serie di tattiche per raggiungere i loro obiettivi con un set di strumenti personalizzati. Questi strumenti non solo bypassano i software di sicurezza installati nell'ambiente, ma raccolgono anche informazioni critiche e stabiliscono canali nascosti per un accesso remoto persistente.
Le attività di spionaggio del gruppo, molte delle quali sono allineate con gli obiettivi strategici nazionali, hanno preso di mira una vasta gamma di settori pubblici e privati in tutto il mondo. Gli attacchi di questo gruppo di minacce sono caratterizzati dall'uso del malware Winnti, che ha un rootkit unico che consente di nascondere e manipolare le comunicazioni, oltre all'uso di certificati digitali legittimi rubati nel malware.
Catena di attacco
Inoltre, la catena di attacco più recente documentata da LAC ha rilevato lo sfruttamento di una vulnerabilità di iniezione SQL in un sistema ERP non specificato per installare web shell come China Chopper e Behinder sul server compromesso. Questo accesso è stato utilizzato per eseguire ricognizioni, raccogliere credenziali per movimenti laterali e consegnare una versione migliorata del malware Winnti.
L'intrusione ha avuto un impatto più ampio, con una violazione di un provider di servizi gestiti (MSP) attraverso l'uso di un account condiviso, e successivamente, la compromissione dell'infrastruttura della compagnia per propagare ulteriormente il malware ad altre tre organizzazioni. È stata trovata anche una menzione di TreadStone e StoneV5 nella campagna RevivalStone. TreadStone è un controller progettato per funzionare con il malware Winnti, mentre StoneV5 potrebbe indicare una versione aggiornata del malware utilizzato in questo attacco.
Infine, viene riportato che il nuovo malware Winnti è stato dotato di caratteristiche come l'offuscamento, algoritmi di crittografia aggiornati e meccanismi di evasione dai prodotti di sicurezza, suggerendo che il gruppo continuerà a sviluppare le funzionalità del malware per futuri attacchi.
