L'APT SideWinder, un gruppo di minacce persistenti avanzate, ha ampliato la sua portata attaccando settori chiave come il marittimo, nucleare e IT in diverse regioni tra cui l'Asia, il Medio Oriente e l'Africa. Le attività di questo gruppo sono state osservate da Kaspersky nel 2024, con attacchi che hanno colpito paesi come Bangladesh, Cambogia, Gibuti, Egitto, Emirati Arabi Uniti e Vietnam. Oltre a questi, gli obiettivi includono centrali nucleari e infrastrutture energetiche nucleari in Sud Asia e Africa, così come aziende di telecomunicazioni, consulenza, servizi IT, agenzie immobiliari e hotel.

Il gruppo, noto per migliorare costantemente i suoi strumenti per evitare la rilevazione da parte dei software di sicurezza, ha anche preso di mira entità diplomatiche in Afghanistan, Algeria, Bulgaria, Cina, India, Maldive, Ruanda, Arabia Saudita, Turchia e Uganda. La particolare attenzione all'India è significativa, poiché si sospettava che il gruppo avesse origine indiana.

Il SideWinder è stato precedentemente oggetto di un'analisi approfondita da parte di una società di sicurezza informatica russa nell'ottobre 2024. Tale analisi ha documentato l'uso da parte del gruppo di un toolkit modulare post-esecuzione chiamato StealerBot per raccogliere un'ampia gamma di informazioni sensibili dagli host compromessi. Gli attacchi al settore marittimo erano stati evidenziati anche da BlackBerry nel luglio 2024.

Gli attacchi recenti seguono un modello già noto, con email di spear-phishing utilizzate come veicolo per distribuire documenti infetti che sfruttano una vulnerabilità di sicurezza nota nell'Editor di Equazioni di Microsoft Office (CVE-2017-11882). Questo attiva una sequenza multi-stadio che utilizza un downloader .NET chiamato ModuleInstaller per lanciare StealerBot.

Kaspersky ha sottolineato che alcuni dei documenti esca sono legati a centrali nucleari e agenzie energetiche, mentre altri contengono riferimenti a infrastrutture marittime e diverse autorità portuali. Il gruppo SideWinder monitora costantemente le rilevazioni dei loro strumenti da parte delle soluzioni di sicurezza e, una volta identificati, rispondono generando una nuova versione modificata del malware, spesso in meno di cinque ore. Se vengono rilevate attività comportamentali, il gruppo cerca di cambiare le tecniche utilizzate per mantenere la persistenza e caricare i componenti, modificando anche i nomi e i percorsi dei loro file malevoli.