Cyber Security UP

ShadowSilk all’attacco: Cybercriminali usano Telegram per colpire governi in Asia – Nuova ondata di malware

Il gruppo di cybercriminali noto come ShadowSilk è stato recentemente collegato a una nuova ondata di attacchi contro enti governativi situati in Asia Centrale e nella regione Asia-Pacifico (APAC). Secondo quanto scoperto dagli esperti di sicurezza, sono state identificate quasi 35 vittime, principalmente appartenenti a organizzazioni governative, ma anche a settori come energia, manifatturiero, retail e trasporti.

Struttura e Collaborazioni

L’operazione di ShadowSilk si distingue per una struttura multilingue e multi-regionale: sviluppatori di lingua russa, legati a precedenti campagne come YoroTrooper, collaborano con operatori di lingua cinese specializzati nelle intrusioni. La reale estensione di questa collaborazione rimane però incerta. ShadowSilk mostra infatti sovrapposizioni nella propria infrastruttura con altri gruppi noti come SturgeonPhisher e Silent Lynx, già segnalati in passato per attacchi verso obiettivi simili nell’area centro-asiatica.

Tecniche di Attacco

Il gruppo utilizza principalmente campagne di spear-phishing come vettore iniziale di attacco, inviando email malevole contenenti archivi protetti da password. All’interno di questi archivi sono presenti loader personalizzati che, una volta eseguiti sulla macchina della vittima, occultano il traffico verso i server di comando e controllo (C2) dietro bot Telegram, rendendo così difficile il rilevamento. Per garantire la persistenza nel sistema compromesso, viene modificato il registro di Windows in modo da consentire l’avvio automatico dei malware ad ogni riavvio.

Strumenti e Vulnerabilità Sfruttate

ShadowSilk si avvale inoltre di exploit pubblici per vulnerabilità note come CVE-2018-7600 e CVE-2018-7602 su Drupal e CVE-2024-27956 su WordPress, utilizzando strumenti di ricognizione e penetration testing come FOFA, Fscan, Gobuster, Dirsearch, Metasploit e Cobalt Strike. Non manca l’uso di web shell (ANTSWORD, Behinder, Godzilla, FinalShell) e tool per l’escalation dei privilegi e il movimento laterale nella rete, come Resocks e Chisel.

Funzionalità Avanzate e Obiettivi

Particolarmente sofisticato è l’uso di RAT (remote access trojan) basato su Python, capace di ricevere comandi e inviare dati esfiltrati tramite bot Telegram, camuffando così il traffico come normale attività di messaggistica. Altri strumenti permettono la sottrazione di credenziali da Chrome, l’acquisizione di screenshot e immagini webcam, e la raccolta di documenti sensibili in archivi ZIP poi inviati a server esterni.

Attività Recente

Le ultime analisi rivelano una crescente attività del gruppo, con nuove vittime identificate anche nel luglio 2025, sottolineando l’importanza di tenere monitorata la loro infrastruttura per prevenire compromissioni durature e furti di dati sensibili, soprattutto nel settore pubblico delle regioni interessate.