Un sofisticato attacco informatico di matrice cinese ha operato nell'ombra per oltre un anno, infiltrandosi nei sistemi di aziende tecnologiche e studi legali statunitensi attraverso un malware avanzato chiamato Brickstorm. L'operazione di spionaggio, orchestrata dal gruppo APT UNC5221 secondo le analisi del Google Threat Intelligence Group, rappresenta uno degli esempi più raffinati di persistenza prolungata mai documentati nel panorama della cybersecurity. La capacità di rimanere nascosti per periodi così estesi dimostra un livello di sofisticazione tecnica e operativa che ricorda le più celebri campagne di spionaggio industriale dell'era digitale.
L'anatomia di un attacco invisibile
Il malware Brickstorm, sviluppato nel linguaggio di programmazione Go, è stato progettato per agire come un vero e proprio coltellino svizzero digitale. La sua architettura modulare gli consente di funzionare simultaneamente come server web, manipolare il file system, trasferire file in entrambe le direzioni ed eseguire comandi di sistema attraverso una shell remota. Una delle caratteristiche più insidiose è la capacità di fungere da proxy SOCKS, creando tunnel criptati per nascondere il traffico malevolo all'interno delle comunicazioni legittime dell'organizzazione.
Gli sviluppatori del malware hanno implementato una serie di tecniche di evasione particolarmente raffinate. Il software utilizza ritardi strategici nelle comunicazioni con i server di comando e controllo, imita processi legittimi del sistema operativo e ruota continuamente i domini C2 sfruttando servizi cloud popolari come Cloudflare, Heroku e DNS dinamici.
La strategia del doppio colpo: Bricksteal entra in scena
Nell'ultima ondata di attacchi documentata, i cybercriminali hanno introdotto un componente aggiuntivo chiamato Bricksteal. Questo strumento, implementato come filtro Java Servlet che opera esclusivamente in memoria, viene installato sui server vCenter di VMware per intercettare le credenziali di autenticazione HTTP Basic. La scelta di operare completamente in RAM rende praticamente impossibile la sua individuazione attraverso le tradizionali scansioni del disco rigido.
Una volta ottenute le credenziali di alto privilegio, gli attaccanti mettono in atto una strategia di clonazione delle macchine virtuali più critiche, inclusi i Domain Controller e i server vault. Questi cloni vengono poi montati offline per l'estrazione di file sensibili come ntds.dit, che contiene l'intero database delle password di dominio di Windows.
L'obiettivo finale: la posta elettronica come tesoro nascosto
L'analisi dei casi studiati rivela un pattern costante negli obiettivi finali degli attaccanti: l'accesso alle caselle email di figure chiave all'interno delle organizzazioni target. Per raggiungere questo scopo, il gruppo UNC5221 sfrutta le applicazioni enterprise di Microsoft Entra ID, configurandole con permessi mail.read o full_access_as_app che garantiscono accesso illimitato a qualsiasi casella di posta dell'organizzazione.
I bersagli preferiti includono sviluppatori e amministratori di sistema, ma anche individui coinvolti in questioni che si allineano con gli interessi economici e di spionaggio della Repubblica Popolare Cinese. Questa selezione mirata suggerisce operazioni di intelligence altamente coordinate piuttosto che semplici attacchi opportunistici.
L'arte della sparizione: tecniche anti-forensi avanzate
Ciò che distingue UNC5221 da molti altri gruppi APT è l'attenzione maniacale alle operazioni di pulizia post-infiltrazione. Una volta completate le operazioni di estrazioine dati, gli attaccanti rimuovono sistematicamente ogni traccia del malware, ruotano domini C2 e modificano i campioni di codice per impedire l'analisi forense. Questa metodologia ha reso praticamente impossibile per i ricercatori di sicurezza osservare il riutilizzo di domini di comando e controllo o campioni di malware identici.
La persistenza viene garantita attraverso modifiche ai script di avvio dei sistemi compromessi e l'installazione di una web shell JSP denominata Slaystyle, capace di eseguire comandi arbitrari sul sistema target. Gli attaccanti abilitano inoltre l'accesso SSH attraverso l'interfaccia VAMI per mantenere canali di accesso alternativi.
In risposta a questa minaccia sofisticata, Mandiant ha rilasciato uno script di scansione specializzato per aiutare le organizzazioni a identificare eventuali tracce di attività legate a Brickstorm, sottolineando l'importanza di un monitoraggio proattivo contro minacce di questa complessità tecnica.