Invasori invisibili: le nuove tattiche di Tropic Trooper violano le reti domestiche e prendono di mira il Giappone
Sottotitolo: Il famigerato gruppo APT vira sui router di casa ed espande la propria portata, segnalando una pericolosa evoluzione nello spionaggio informatico.
Tutto è iniziato con l’aggiornamento di un’app di dizionario-di routine, innocuo, o almeno così sembrava. Ma quando un utente giapponese ha cliccato su “aggiorna”, senza saperlo ha spalancato la porta a un aggressore oscuro e persistente. Quello che è seguito è stato un giallo digitale, che ha svelato una campagna sofisticata dell’APT Tropic Trooper, collegato alla Cina. Non più soddisfatto di uffici governativi e bersagli aziendali, il gruppo si è insinuato silenziosamente nelle case delle persone, dirottando router e prendendo di mira individui di alto profilo in Giappone, Corea del Sud e Taiwan. Il messaggio è chiaro: non esistono zone off-limits e nessun dispositivo è troppo banale per essere compromesso.
Secondo gli investigatori di Itochu Cyber & Intelligence, il tratto distintivo di Tropic Trooper è il suo approccio creativo all’intrusione. Nell’ultima campagna, il gruppo ha compromesso il router Wi‑Fi domestico di una vittima, reindirizzando silenziosamente aggiornamenti software legittimi verso server malevoli-una tecnica nota come DNS hijacking. La catena d’infezione era complessa: la vittima ha scaricato quello che sembrava un aggiornamento autentico per una popolare app di dizionario, ma nell’aggiornamento era nascosto un file XML sospetto che consegnava un beacon di Cobalt Strike, uno strumento prediletto dagli attaccanti per l’accesso remoto e il controllo.
Quando lo stesso utente è stato compromesso di nuovo un anno dopo, i ricercatori hanno scavato più a fondo e hanno scoperto l’origine: le impostazioni DNS del router di casa erano state sovrascritte in quello che viene chiamato un attacco “evil twin”. Questo ha permesso a Tropic Trooper di intercettare il traffico e iniettare malware alla fonte-proprio dentro l’abitazione della vittima.
Ulteriori analisi forensi digitali hanno portato alla luce un tesoro di nuove famiglie di malware conservate in un bucket Amazon S3 esposto. Tra queste c’erano DaveShell e il loader Donut (malware open source), oltre a Merlin e Apollo Agents-trojan di accesso remoto basati su Go-e C6DOOR, una backdoor personalizzata. Il gruppo ha inoltre distribuito pagine di phishing che imitavano schermate di login per app di messaggistica cifrata come Signal, adescando specifici bersagli di alto profilo.
Questo salto tecnico mostra un’evoluzione nel playbook di Tropic Trooper. Abbracciando malware open source e prendendo di mira individui al di fuori dei tradizionali ambienti aziendali, il gruppo sta ampliando il proprio raggio d’azione e complicando il lavoro dei difensori. Zscaler ThreatLabz ha corroborato questi risultati, osservando campagne di phishing a tema militare che utilizzavano lettori PDF compromessi per distribuire malware avanzato a utenti di lingua cinese in Giappone e Corea del Sud.
Con l’arsenale di strumenti in crescita e l’elenco dei bersagli che si allunga, la minaccia rappresentata da Tropic Trooper è più imprevedibile che mai. La disponibilità del gruppo a sperimentare nuove vie d’attacco e ad adottare rapidamente nuovi strumenti è un avvertimento: il confine tra rischio informatico professionale e personale sta scomparendo.
Riflessione: La svolta di Tropic Trooper verso router domestici e dispositivi personali apre un nuovo fronte nello spionaggio informatico. Con gli attaccanti che scivolano oltre le difese aziendali e dentro la sacralità delle case private, la vigilanza non è più solo una questione del reparto IT-riguarda tutti.
TECHCROOK
Per ridurre il rischio di dirottamento DNS e attacchi “evil twin” sui router domestici, un’opzione concreta è un router con funzioni di sicurezza integrate come ASUS RT-AX88U. Si tratta di un dispositivo Wi‑Fi 6 (802.11ax) pensato per reti domestiche ad alte prestazioni, con supporto a WPA3, aggiornamenti firmware regolari e protezioni di rete che aiutano a bloccare domini malevoli e tentativi di intrusione prima che raggiungano PC e smartphone. Offre gestione avanzata di DNS e firewall, segmentazione tramite rete ospiti, controlli parentali e monitoraggio del traffico, utili quando gli attaccanti puntano a compromissioni “alla fonte” passando dal router. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
ASUS RT-AX88U è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere operazioni.
- DNS Hijacking: Il DNS Hijacking si verifica quando gli attaccanti alterano di nascosto le impostazioni DNS, reindirizzando gli utenti verso siti falsi o dannosi a loro insaputa per rubare dati o diffondere malware.
- Cobalt Strike Beacon: Cobalt Strike Beacon è un payload di accesso remoto usato per comando e controllo, ampiamente sfruttato dagli attaccanti per il post-sfruttamento e il movimento laterale.
- Remote Access Trojan (RAT): Un Remote Access Trojan (RAT) è un malware che consente agli attaccanti di controllare di nascosto il computer di una vittima da qualsiasi luogo, permettendo furto e spionaggio.
- Evil Twin Attack: Un Evil Twin Attack si verifica quando gli hacker creano una rete Wi‑Fi falsa che sembra legittima, inducendo gli utenti a connettersi ed esponendo informazioni sensibili.




