Sabato 04 Luglio 2026 11:00:37 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

Trojan nel Codice: l’ingegnoso dirottamento di GitHub e VS Code da parte di Tropic Trooper per uno spionaggio furtivo

Pubblicato: 23 Aprile 2026 09:03Categoria: Cyber Warfare & Nation-State OperationsArea: AsiaAutore: AGONY

Sottotitolo: Una sofisticata campagna di cyber-spionaggio sfrutta lettori PDF dirottati, malware personalizzato e strumenti per sviluppatori per infiltrarsi silenziosamente nei bersagli in Asia orientale.

Tutto è iniziato con un semplice PDF-almeno, così credevano le vittime. Ma dietro l’icona familiare e l’aspetto innocuo si nascondeva una delle campagne di cyber-spionaggio più inventive degli ultimi anni. Il gruppo noto come Tropic Trooper, tristemente famoso per colpire governi e settori della difesa dell’Asia orientale, ha svelato un nuovo arsenale: lettori di documenti armati, malware personalizzato che si mimetizza nei progetti open-source e un uso astuto degli strumenti per sviluppatori per scivolare oltre anche i difensori più vigili.

L’anatomia di un’operazione coperta

Il 12 marzo 2026, i ricercatori di sicurezza di ThreatLabz hanno scoperto un archivio ZIP brulicante di documenti a tema militare in cinese, inclusi file su sottomarini nucleari e operazioni di intelligence. Il trucco? Il file “Comparative Analysis of US-UK and US-Australia Nuclear Submarine Cooperation (2025).exe” non era affatto un documento, bensì una versione trojanizzata di SumatraPDF-il lettore PDF open-source-progettata per adescare utenti ignari.

Una volta eseguito, il lettore apparentemente innocuo mostrava un PDF-esca mentre, in modo occulto, scatenava una catena di infezione multi-fase. Questa catena iniziava con un loader TOSHIS modificato, che dirottava il processo di avvio dell’applicazione e recuperava silenziosamente dettagli di configurazione, chiavi di cifratura e un payload secondario da un server di staging remoto. Il payload: un Beacon AdaptixC2, un componente malware flessibile progettato per furtività e controllo.

A differenza degli attacchi precedenti che privilegiavano strumenti ampiamente rilevati come Cobalt Strike, l’ultima campagna di Tropic Trooper ha adottato il framework open-source AdaptixC2, segnalando un passaggio a metodi più diversificati e meno appariscenti. Il Beacon comunicava con i suoi operatori tramite GitHub, usando con astuzia issue e file del repository per ricevere comandi ed esfiltrare dati. Ogni sessione generava chiavi di cifratura uniche e tutte le tracce di comunicazione venivano eliminate da GitHub pochi istanti dopo l’uso, cancellando le impronte digitali prima che qualcuno potesse accorgersene.

Ma l’innovazione non si fermava lì. Per le vittime di alto valore, gli attaccanti passavano a usare i tunnel di Visual Studio Code-uno strumento legittimo per lo sviluppo remoto. Installando il client a riga di comando di VS Code e stabilendo tunnel persistenti sotto nomi di attività dall’aspetto innocuo, gli attaccanti si garantivano un accesso interattivo e di lungo periodo con un rischio minimo di scoperta. La combinazione di strumenti open-source, piattaforme per sviluppatori e rapida pulizia degli artefatti creava una backdoor quasi invisibile verso sistemi sensibili.

Conclusione: quando l’offensiva somiglia al software di tutti i giorni

La campagna di Tropic Trooper è un monito inquietante su quanto facilmente software fidato e piattaforme per sviluppatori possano essere trasformati in armi per lo spionaggio. Integrando senza soluzione di continuità codice malevolo negli strumenti di uso quotidiano e cancellando le proprie tracce in tempo reale, questi attaccanti hanno alzato l’asticella della furtività e della sofisticazione. Mentre i difensori corrono per adattarsi, una cosa è chiara: nel mondo del cyber-spionaggio, le minacce più grandi oggi si nascondono in piena vista.

TECHCROOK

Per ridurre il rischio di infezioni da PDF trojanizzati e di attività “living-off-the-land” che abusano di strumenti legittimi (come tunnel remoti e processi in memoria), una soluzione concreta è Bitdefender Total Security. La suite integra protezione in tempo reale con analisi comportamentale e anti-exploit, utile contro loader e beacon che cercano di eludere le firme tradizionali. Include difesa web e anti-phishing per bloccare download malevoli, controllo delle applicazioni e mitigazioni contro persistenza e manomissioni, oltre a scansioni on-demand per individuare componenti nascosti. È adatta a PC Windows e altri dispositivi domestici, con gestione centralizzata semplice e aggiornamenti frequenti delle tecniche di rilevamento. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Total Security è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Trojanizzato: Un software trojanizzato appare legittimo ma contiene segretamente codice malevolo, consentendo agli attaccanti di compromettere sistemi o rubare informazioni senza che l’utente se ne accorga.
  • Loader: Un loader è un software malevolo che installa o esegue altro malware su un sistema infetto, abilitando ulteriori cyberattacchi o accessi non autorizzati.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • In: Un sistema di pagamento in-app consente agli utenti di acquistare beni o servizi digitali direttamente all’interno di un’app, offrendo comodità e maggiore controllo dei ricavi per gli sviluppatori.
  • Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto sui sistemi, spesso imitando processi o aggiornamenti legittimi.