L'attacco cibernetico condotto dal gruppo di hacker conosciuto come Earth Estries, legato alla Cina, ha recentemente messo in pericolo le telecomunicazioni di oltre 12 paesi utilizzando un nuovo malware chiamato GHOSTSPIDER. Questo gruppo, descritto come una minaccia persistente avanzata, ha colpito principalmente aziende di telecomunicazioni nel sud-est asiatico, ma anche altre industrie come la tecnologia, il trasporto e persino organizzazioni governative e non-profit. Secondo Trend Micro, Earth Estries ha sfruttato anche un altro malware denominato MASOL RAT sui sistemi Linux di reti governative nella stessa regione.

L'attività di Earth Estries è stata scoperta in più di 20 enti, con vittime identificate in paesi come Afghanistan, Brasile, India, Indonesia, Stati Uniti e molti altri. Questo gruppo condivide somiglianze con altri cluster di minacce seguiti da diversi fornitori di sicurezza informatica sotto vari nomi come FamousSparrow e GhostEmperor, ed è attivo almeno dal 2020. Utilizzando una varietà di famiglie di malware, Earth Estries ha violato entità governative e telecomunicazioni negli Stati Uniti, in Asia-Pacifico, Medio Oriente e Africa.

Il Washington Post ha riferito che il gruppo ha compromesso più di una dozzina di aziende di telecomunicazioni solo negli Stati Uniti, con circa 150 vittime identificate e avvisate dal governo americano. Tra gli strumenti utilizzati nel loro arsenale malware ci sono il rootkit Demodex e il RAT Deed, un successore sospetto di ShadowPad, ampiamente usato da vari gruppi APT cinesi.

L'accesso iniziale alle reti bersaglio è stato ottenuto sfruttando vulnerabilità di sicurezza note in prodotti come Ivanti Connect Secure, Fortinet FortiClient EMS, e Sophos Firewall. Una volta che l'accesso è stato stabilito, Earth Estries ha distribuito malware personalizzati per condurre attività di spionaggio cibernetico a lungo termine.

La struttura operativa di Earth Estries è ben organizzata con una divisione chiara dei compiti. Gli attacchi in diverse regioni e industrie sembrano essere lanciati da attori differenti, con infrastrutture di comando e controllo gestite da team diversi, sottolineando la complessità delle loro operazioni. GHOSTSPIDER, un impianto sofisticato e modulare, comunica con le infrastrutture controllate dagli attaccanti tramite un protocollo personalizzato protetto da TLS, permettendo il download di moduli aggiuntivi per estendere la sua funzionalità.

Questo tipo di attacchi evidenzia il significativo sviluppo del programma cibernetico della Cina, che si è evoluto da attacchi isolati a una raccolta dati di massa e a un targeting a lungo termine di fornitori di servizi gestiti (MSP), fornitori di servizi internet (ISP) e fornitori di piattaforme. Le aziende di telecomunicazioni continuano ad essere un obiettivo primario per diversi gruppi di minaccia legati alla Cina, rendendo la protezione delle loro infrastrutture critiche più importante che mai.