La campagna di cyberspionaggio denominata PassiveNeuron sta colpendo organizzazioni governative, finanziarie e industriali in Asia, Africa e America Latina, secondo recenti ricerche nel settore della sicurezza informatica. Questa attività è stata individuata per la prima volta nel novembre 2024, quando sono emersi attacchi avanzati contro enti governativi in America Latina e Asia orientale. Gli attacchi sono stati realizzati tramite nuove famiglie di malware, in particolare Neursite e NeuralExecutor, che rappresentano strumenti sofisticati utilizzati dagli attori della minaccia.

Gli aggressori sfruttano infrastrutture già compromesse, come server interni, configurandoli come nodi intermedi di comando e controllo (C2), così da occultare le comunicazioni malevole e aggirare le difese tradizionali. Questa strategia permette un movimento laterale efficace nella rete bersaglio e facilita l'esfiltrazione di dati sensibili, anche da macchine isolate dalla rete internet attraverso la creazione di reti virtuali temporanee.

Dal dicembre 2024 ad agosto 2025 si è osservata una nuova ondata di infezioni riconducibili a PassiveNeuron. Sebbene la campagna non sia ancora attribuita con certezza, alcuni indizi fanno pensare ad attori di lingua cinese. In almeno un caso documentato, l'accesso iniziale è avvenuto tramite un server Windows compromesso, probabilmente sfruttando tecniche di brute force sulle credenziali amministrative o vulnerabilità SQL, come injection o bachi ancora sconosciuti.

Dopo aver ottenuto il controllo del sistema, i cyber criminali hanno tentato di installare una web shell per il comando remoto. Non riuscendoci, hanno distribuito impianti più evoluti tramite appositi loader DLL, tra cui Neursite (backdoor modulare in C++), NeuralExecutor (implant .NET per caricare ulteriori payload .NET) e strumenti legittimi come Cobalt Strike.

Neursite si distingue per la capacità di comunicare con il server C2 tramite protocolli TCP, SSL, HTTP e HTTPS, raccogliere informazioni di sistema, gestire processi attivi e fungere da proxy per il traffico, favorendo così la persistenza e la propagazione all’interno della rete. La struttura modulare consente inoltre di estendere le funzionalità con plugin aggiuntivi per l’esecuzione di comandi, gestione file system e operazioni su socket TCP.

Un elemento notevole riguarda l’evoluzione di NeuralExecutor: le prime varianti si collegavano a indirizzi C2 statici, mentre le ultime richiedono la configurazione del server C2 tramite repository GitHub, sfruttando la piattaforma come punto di raccolta delle istruzioni.

La campagna PassiveNeuron si focalizza principalmente su server esposti a internet, considerati punti d’ingresso ideali per compromettere l’intera infrastruttura di un’organizzazione e lanciare operazioni di cyberspionaggio in maniera mirata e silenziosa.