Lunedi 06 Luglio 2026 15:50:13 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

Fantasmi nella sala server: hacker legati alla Cina sfruttano vecchie vulnerabilità in un’operazione di spionaggio ad alto rischio

Pubblicato: 01 Maggio 2026 11:05Categoria: Cyber Warfare & Nation-State OperationsArea: AsiaAutore: AGONY

Sottotitolo: Un’ondata furtiva di intrusioni informatiche sfrutta sistemi obsoleti per infiltrare governi e infrastrutture critiche in tutta l’Asia - e oltre.

È iniziato, come tante storie di cyber-spionaggio, con un server web apparentemente innocuo che ronzava in un ufficio governativo. Ma per le vittime del gruppo SHADOW-EARTH-053, quel server è diventato la porta d’ingresso a una vasta campagna informatica multi-fase - una campagna che sta silenziosamente sottraendo segreti e gettando le basi per una sorveglianza di lungo periodo, il tutto nascondendosi in piena vista.

Fatti rapidi

  • Il gruppo SHADOW-EARTH-053, allineato alla Cina, ha preso di mira reti governative e di infrastrutture critiche almeno da dicembre 2024.
  • Gli attaccanti sfruttano server Microsoft Exchange e IIS obsoleti, usando vulnerabilità note come ProxyLogon.
  • Il malware ShadowPad, distribuito tramite un furtivo sideloading di DLL, garantisce un accesso persistente e occulto.
  • La campagna ha colpito organizzazioni in tutta l’Asia - inclusa una nazione membro della NATO.
  • Tra gli strumenti chiave figurano web shell (GODZILLA), utility per il furto di credenziali e tecniche avanzate di movimento laterale.

L’anatomia di una campagna furtiva

Gli attaccanti dietro SHADOW-EARTH-053 non inseguono i titoli dei giornali: vogliono informazioni, e hanno pazienza. Il loro metodo si fonda su una realtà fredda dell’IT moderno: molte organizzazioni, nonostante anni di avvertimenti, continuano a far girare server Microsoft Exchange e IIS obsoleti o non aggiornati. Questi sistemi legacy, soprattutto quelli esposti a internet, sono bersagli facili per chiunque disponga del toolkit giusto.

Una volta dentro, il gruppo distribuisce web shell come GODZILLA per mantenere un punto d’appoggio, confondendo la propria attività con i processi legittimi del sistema. Il vero carico utile, però, è ShadowPad - una backdoor sofisticata favorita da più gruppi di spionaggio legati alla Cina. La distribuzione di ShadowPad tramite DLL sideloading (usando software affidabile e firmato per introdurre di nascosto codice malevolo) aiuta gli attaccanti a evitare il rilevamento da parte degli strumenti di sicurezza tradizionali.

Ma l’operazione non si ferma all’accesso iniziale. Con un arsenale stratificato - IOX proxy, GOST, Wstunnel, WMIC e loader personalizzati - gli hacker si muovono lateralmente, aumentano i privilegi e raccolgono dati preziosi da utenti di alto valore. In alcuni casi, copiano persino le loro web shell su altri server interni, ampliando silenziosamente la propria portata nel panorama digitale di un’organizzazione.

I ricercatori di Trend Micro avvertono che queste campagne sfruttano vulnerabilità “N-day” - falle di sicurezza che dovrebbero essere corrette ma spesso non lo sono. Il risultato: compromissione delle caselle di posta, furto di credenziali e mesi, se non anni, di sorveglianza non rilevata.

Difendersi dall’invasore invisibile

Le lezioni della campagna di SHADOW-EARTH-053 sono nette. I server Exchange e IIS esposti a internet devono essere trattati come asset ad alto rischio, richiedendo patching aggressivo e monitoraggio continuo. Dove l’applicazione delle patch non è immediatamente possibile, il virtual patching e un rigoroso monitoraggio dell’integrità dei file possono far guadagnare tempo. Gli amministratori dovrebbero blindare i privilegi dei server, eliminare i moduli non necessari e analizzare con attenzione eventuali command shell insolite o connessioni in uscita.

In definitiva, questa campagna è un monito inquietante: nel cyber-spionaggio, le vulnerabilità di ieri sono le porte aperte di domani. I fantasmi che infestano le nostre sale server non sono solo materia di finzione - sono sofisticati, persistenti e stanno riscrivendo in silenzio le regole della guerra digitale.

TECHCROOK

Trend Micro Deep Security è una piattaforma di protezione server pensata per ambienti enterprise e data center, utile quando sistemi come Microsoft Exchange e IIS restano esposti e difficili da aggiornare rapidamente. Integra funzioni di virtual patching (IPS) per mitigare vulnerabilità note, antimalware con analisi comportamentale, monitoraggio dell’integrità dei file per individuare modifiche sospette (es. web shell) e controllo delle applicazioni/servizi per ridurre la superficie d’attacco. Supporta anche ispezione del traffico e logging centralizzato per facilitare il rilevamento di movimento laterale e connessioni anomale in uscita. È indicato per strategie di hardening e difesa “a strati” su server critici. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Web shell: una web shell è uno script malevolo caricato su un server dagli hacker, che consente loro di controllare il server da remoto tramite un’interfaccia web.
  • DLL sideloading: il DLL sideloading avviene quando gli attaccanti ingannano programmi affidabili inducendoli a caricare file di supporto malevoli (DLL) al posto di quelli legittimi, abilitando attacchi nascosti.
  • N: una vulnerabilità n-day è una falla di sicurezza nota che rimane non corretta in alcuni software, diventando un bersaglio per i cyberattacchi.
  • Movimento laterale: il movimento laterale è quando gli attaccanti, dopo aver violato una rete, si spostano “di lato” per accedere ad altri sistemi o a dati sensibili, ampliando controllo e portata.
  • Virtual patching: il virtual patching protegge i sistemi vulnerabili bloccando le minacce informatiche in tempo reale, anche quando gli aggiornamenti ufficiali del software non possono essere applicati immediatamente.