Dentro la macchina “Paperclip”: come un spietato sindacato cyber cinese ha lanciato 45.000 attacchi sotto gli occhi di tutti
Sottotitolo: Un’operazione di hacking automatizzata e “aziendale” ha infiltrato silenziosamente migliaia di aziende in tutto il mondo, lasciandosi dietro backdoor e segreti rubati.
A prima vista, potrebbe essere scambiata per una legittima startup tecnologica: dashboard centralizzate, flussi di lavoro automatizzati e un’attenzione implacabile all’efficienza. Ma dietro le quinte, questo è il volto di una vasta operazione di cybercrime collegata alla Cina, recentemente scoperta dal Threat Research Team di SOCRadar, che ha già preso di mira decine di migliaia di organizzazioni in tutto il mondo.
L’industrializzazione del cybercrime
Dimenticate lo stereotipo dell’hacker solitario in una stanza buia. L’operazione, nome in codice “Paperclip”, è un’impresa criminale snella e strutturata. Il suo flusso di lavoro imita un tipico processo aziendale: le campagne iniziano con la pianificazione, proseguono con ricognizione e scansione e si chiudono con report dettagliati sui dati sottratti. Questo livello di organizzazione cambia le regole del gioco nel mondo del cybercrime.
Grazie a strumenti di mappatura di Internet come FOFA e 360Quake, gli attaccanti identificano sistematicamente sistemi esposti su Internet e vulnerabili-soprattutto quelli appartenenti a bersagli di alto valore. Registrando centinaia di falsi account di scansione (con schemi come fofa@deltajohnsons.com), aggirano i limiti di frequenza e vanno continuamente a caccia di debolezze, in particolare quelle che consentono l’esecuzione di codice da remoto (RCE), come la famigerata Log4Shell e vulnerabilità più recenti come React2Shell.
La spina dorsale tecnica è una suite di script Python personalizzati che automatizzano lo sfruttamento, estraggono variabili d’ambiente sensibili ed eludono il rilevamento da parte dei web application firewall. Questi script possono compromettere centinaia di sistemi in parallelo, massimizzando portata e impatto del gruppo.
Persistenza e profitto
Una volta dentro, gli hacker si sistemano come se fossero a casa. Distribuiscono backdoor furtive (impianti “d2” e “pl”), installano webshell e usano tecniche come l’esecuzione di malware fileless-eseguendo codice malevolo direttamente in memoria, lasciando poche tracce per i difensori. I dati sensibili vengono esfiltrati, con un focus su chiavi API, token finanziari e credenziali di database.
L’operazione non si ferma al furto. Le chiavi Stripe rubate vengono convalidate automaticamente per verificare i saldi disponibili, mentre API di blockchain intelligence aiutano a monitorare e potenzialmente monetizzare quasi 22.000 indirizzi di criptovalute. Ogni passaggio è automatizzato, scalabile e progettato per massimizzare il profitto.
Sullo sfondo, il sistema backend Paperclip coordina tutto, gestendo i dati rubati, tracciando le campagne in corso e dando priorità ai bersagli più redditizi-proprio come un’azienda legittima ottimizzerebbe i lead di vendita.
Il quadro più ampio
Questa indagine mette in luce la spaventosa efficienza del cybercrime moderno. Il sindacato “Paperclip” dimostra che l’hacking si è evoluto da attacchi isolati a operazioni su scala industriale-complete di automazione dei flussi di lavoro, analisi dei dati e spietata attenzione al ROI. Per i difensori, il messaggio è chiaro: aspettatevi avversari organizzati, persistenti e innovativi quanto qualsiasi azienda Fortune 500.
TECHCROOK
YubiKey 5 NFC è una chiave di sicurezza hardware pensata per ridurre l’impatto di furti di credenziali e accessi non autorizzati, scenari tipici dopo campagne automatizzate con backdoor e webshell. Supporta autenticazione a più fattori e passwordless con standard FIDO2/WebAuthn e U2F, oltre a funzioni OTP e smart card (PIV) utili in contesti aziendali. Si integra con servizi cloud e ambienti on‑prem, aiutando a proteggere account amministrativi, console di gestione e accessi a VPN o pannelli di controllo, spesso presi di mira per ottenere persistenza. Robusta e portatile, limita il rischio di phishing e riuso password. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
YubiKey 5 NFC è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.
- Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
- Webshell: Una webshell è un programma nascosto caricato dagli hacker su un sito compromesso, che consente loro controllo remoto e accesso non autorizzato come una backdoor segreta.
- Malware fileless: Il malware fileless è software malevolo che viene eseguito nella memoria del computer, evitando la scrittura su disco e rendendo difficile il rilevamento da parte degli strumenti di sicurezza tradizionali.
- Chiave API: Una chiave API è un codice univoco che consente ai programmi di accedere a dati o servizi. Se non adeguatamente protetta, può rappresentare un rischio per la cybersicurezza.




