Un nuovo gruppo di cybercriminali conosciuto come NightEagle, identificato anche come APT-Q-95, è stato recentemente individuato mentre sfruttava una vulnerabilità zero-day su Microsoft Exchange Server per colpire settori strategici in Cina, in particolare governi, difesa e tecnologia. Attivo dal 2023, NightEagle si distingue per la sua rapidità nel cambiare infrastrutture di rete, rendendo difficile la sua individuazione e il tracciamento da parte degli esperti di sicurezza informatica.

La scoperta è stata presentata dal RedDrip Team di QiAnXin in occasione della terza edizione della CYDES, una delle principali conferenze di cybersecurity in Malesia. Secondo i ricercatori, gli attacchi sono mirati soprattutto a organizzazioni che operano in ambiti ad alta tecnologia come semiconduttori, quantum computing, intelligenza artificiale e difesa militare, con l’obiettivo principale di raccogliere informazioni sensibili.

L’indagine è partita dopo l’identificazione su un endpoint di un cliente di una versione personalizzata di Chisel, uno strumento open source scritto in Go, progettato per la penetrazione delle reti. Questa variante era programmata per avviarsi automaticamente ogni quattro ore tramite una task schedulata, segno di un attacco persistente e sofisticato. Il malware operava modificando il codice sorgente di Chisel, impostando parametri di esecuzione predefiniti e creando connessioni socks cifrate verso server di comando e controllo, facilitando così la penetrazione della rete interna delle vittime.

La catena di attacco parte con la consegna di un trojan tramite un loader .NET, che viene iniettato nel servizio IIS di Microsoft Exchange. Gli analisti hanno identificato la presenza di una vulnerabilità zero-day che consente agli attaccanti di ottenere le machineKey e acquisire accesso non autorizzato al server Exchange, potendo così impiantare trojan su qualsiasi server compatibile e leggere a distanza le caselle di posta elettronica.

Un elemento interessante emerso dall’analisi temporale delle attività è che gli attacchi avvengono principalmente durante la notte in Cina, suggerendo che i responsabili possano operare da una diversa area geografica, presumibilmente dal Nord America. Questa campagna di spionaggio informatico mette in luce quanto sia fondamentale monitorare costantemente le infrastrutture critiche, aggiornare i sistemi e adottare strategie di difesa avanzate contro le minacce APT che sfruttano zero-day.