La regione del Sud-Est asiatico, inclusi paesi come Filippine, Vietnam, Thailandia e Malesia, è diventata il bersaglio di una sofisticata campagna di cyber spionaggio condotta da un nuovo gruppo di minaccia persistente avanzata (APT) noto come Earth Kurma. Secondo quanto riportato da Trend Micro, questa campagna ha avuto inizio nel giugno 2024 e si distingue per l'uso di malware personalizzati, rootkit e servizi di archiviazione cloud per l'esfiltrazione dei dati. Le intrusioni si basano principalmente su servizi come Dropbox e Microsoft OneDrive per sottrarre dati sensibili utilizzando strumenti come TESDAT e SIMPOBOXSPY. Questi attacchi rappresentano un alto rischio per le attività commerciali a causa dello spionaggio mirato, il furto di credenziali e l'esfiltrazione di dati tramite piattaforme cloud affidabili.

Malware Utilizzati

Tra i malware utilizzati vi sono rootkit come KRNRAT e Moriya, quest'ultimo già noto per attacchi contro organizzazioni di alto profilo in Asia e Africa. Moriya è stato progettato per ispezionare pacchetti TCP in arrivo alla ricerca di payload dannosi, mentre KRNRAT combina diverse funzionalità avanzate per manipolare processi, nascondere file ed eseguire shellcode. L'uso di tecniche "living-off-the-land" (LotL), che sfruttano strumenti e funzionalità di sistema legittimi per installare i rootkit, è una delle caratteristiche distintive di questi attacchi. Questo approccio consente ai cybercriminali di mantenere un basso profilo ed evitare rilevamenti.

Tecniche di Attacco

Oltre a queste tecniche, il gruppo Earth Kurma impiega loader come DUNLOADER, TESDAT e DMLOADER per mantenere la persistenza sugli host compromessi, caricando payload successivi nella memoria per l'esecuzione. Per l'esfiltrazione dei dati, viene utilizzato uno strumento personalizzato chiamato SIMPOBOXSPY, in grado di caricare archivi RAR su Dropbox utilizzando un token di accesso specifico. Un altro programma, ODRIZ, viene utilizzato per caricare informazioni raccolte su OneDrive.

Attribuzione e Implicazioni

Nonostante le similitudini con un altro gruppo APT noto come ToddyCat, l'attribuzione definitiva delle attività di Earth Kurma rimane incerta. La capacità di adattarsi agli ambienti delle vittime e di mantenere una presenza furtiva rende Earth Kurma una minaccia significativa, che continua ad evolversi e rappresentare un pericolo per la sicurezza informatica nella regione del Sud-Est asiatico.