Il gruppo APT31, collegato alla Cina, è stato recentemente attribuito a una serie di attacchi informatici sofisticati contro il settore IT russo tra il 2024 e il 2025. Questi attacchi sono stati particolarmente insidiosi perché hanno sfruttato servizi cloud legittimi, come Yandex Cloud e Microsoft OneDrive, per il comando e controllo (C2) e l’esfiltrazione dei dati, riuscendo così a mimetizzarsi tra il traffico ordinario e a eludere i sistemi di rilevamento.

APT31: profilo e obiettivi

APT31, noto anche con altri nomi come Altaire e Judgement Panda, è attivo almeno dal 2010 e si concentra principalmente su attività di cyber spionaggio. Il gruppo ha preso di mira numerosi settori strategici, inclusi enti governativi, aziende finanziarie e difesa, nonché infrastrutture critiche come telecomunicazioni e media. L’obiettivo principale di queste campagne è l’acquisizione di informazioni sensibili che possano avvantaggiare la Cina sul piano politico, economico e militare.

Modalità d’attacco e tecniche avanzate

Le modalità d’attacco utilizzate contro le aziende IT russe sono state particolarmente elaborate. Gli aggressori hanno impiegato strumenti pubblici e personalizzati per garantirsi persistenza nelle reti compromesse, come task pianificati che imitano applicazioni legittime (ad esempio Yandex Disk e Google Chrome). Tra le tecniche più avanzate c’è l’uso di comandi e payload cifrati nascosti in profili social, sia russi che esteri, e la scelta di agire durante festività o fine settimana per ridurre la possibilità di individuazione.

In alcuni casi, APT31 è riuscita a ottenere l’accesso alle reti bersaglio già dalla fine del 2022, intensificando poi le attività in corrispondenza delle vacanze di Capodanno 2023. Uno degli strumenti chiave è stato CloudyLoader, un loader distribuito tramite archivi RAR contenenti shortcut Windows, capace di caricare Cobalt Strike tramite DLL side-loading. Sono state inoltre rilevate tecniche di spear-phishing con archivi ZIP camuffati da report ministeriali.

Strumenti e arsenale di APT31

L’arsenale di APT31 è molto vario: include utility per la raccolta di informazioni (SharpADUserIP), tool per estrarre password dai browser, backdoor come AufTime e COFFProxy, e strumenti per il tunneling come Tailscale VPN e i tunnel di sviluppo Microsoft. Un elemento distintivo è l’uso di VtChatter, che sfrutta file di testo su VirusTotal per comunicazioni C2, e di OneDriveDoor, una backdoor che utilizza OneDrive per il comando remoto.

Queste tecniche hanno permesso agli attaccanti di restare nascosti per lunghi periodi all’interno delle infrastrutture delle vittime, scaricando dati riservati, credenziali e altre informazioni sensibili senza essere rilevati.