Il gruppo di hacker cinesi noto come Stately Taurus (precedentemente chiamato Mustang Panda) ha recentemente lanciato una nuova campagna di attacchi informatici mirati contro entità governative e diplomatiche nel Sud-Est asiatico. L’arma principale di questa offensiva è una versione aggiornata del malware Bookworm, un trojan modulare inizialmente scoperto nel 2015.
Questa rinnovata attività, rilevata dai ricercatori di sicurezza di Palo Alto Networks’ Unit 42, dimostra come i gruppi di minaccia persistenti avanzati (APT) continuino ad evolvere e perfezionare i loro strumenti nel corso degli anni.
Anatomia del nuovo Bookworm
Il malware Bookworm 2025 mantiene la sua architettura modulare di base, ma introduce alcune novità significative:
- Payload basati su shellcode: Il malware ora incorpora payload di shellcode, aumentando la sua capacità di eludere l’analisi statica.
- Tecniche di offuscamento avanzate: Gli attaccanti nascondono lo shellcode all’interno di identificatori univoci universali (UUID), sia come stringhe ASCII che come blob codificati in Base64.
- Esecuzione in memoria: Bookworm sfrutta funzioni API di Windows legittime per convertire gli UUID in shellcode binario, allocare memoria ed eseguire il payload, il tutto senza lasciare tracce sul disco.
- Mimesi del traffico Windows Update: Il loader PubLoad, utilizzato per distribuire Bookworm, imita il traffico di rete di Windows Update per eludere i sistemi di rilevamento.
Processo di infezione e funzionamento
- Distribuzione iniziale: Gli attaccanti utilizzano file di archivio malevoli, spesso mascherati da documenti politici o agende di riunioni.
- Caricamento del payload: Il file infetto distribuisce un eseguibile legittimo (solitamente componenti di software antivirus), un file DLL chiamato “Loader.dll” e un file “readme.txt” cifrato.
- DLL side-loading: L’eseguibile legittimo viene sfruttato per caricare la DLL malevola attraverso la tecnica del DLL side-loading.
- Decifrazione ed esecuzione: La DLL decifra il contenuto di “readme.txt” per ottenere lo shellcode, che a sua volta decifra e carica in memoria il componente principale di Bookworm (Leader.dll) e vari moduli aggiuntivi.
- Operazioni in memoria: Il malware opera principalmente in memoria, rendendo più difficile il suo rilevamento da parte dei tradizionali sistemi di sicurezza basati su firme.
- Comunicazione con il C2: Bookworm stabilisce una connessione con i server di comando e controllo (C2) utilizzando richieste HTTPS POST verso domini che imitano i server di aggiornamento Microsoft.
Implicazioni geopolitiche e obiettivi
L’attività di Stately Taurus si concentra principalmente sul Sud-Est asiatico, con un particolare interesse per le entità affiliate all’ASEAN (Associazione delle Nazioni del Sud-Est Asiatico). Questa focalizzazione geografica riflette l’importanza strategica della regione nel contesto geopolitico attuale.
Gli obiettivi principali di questi attacchi sembrano essere:
- Spionaggio politico e diplomatico
- Raccolta di informazioni economiche e commerciali
- Monitoraggio delle attività regionali dell’ASEAN
- Potenziale preparazione per future operazioni di influenza
Consigli per la difesa
Per proteggere le reti e i sistemi da minacce come Bookworm, le organizzazioni dovrebbero:
- Implementare analisi comportamentale: Utilizzare strumenti di sicurezza avanzati come Cortex XDR per rilevare attività sospette basate su API e comportamenti anomali.
- Monitorare il traffico di rete: Prestare particolare attenzione a modelli di traffico HTTP che imitano i servizi Microsoft ma provengono da domini non autorizzati.
- Rafforzare la sicurezza degli endpoint: Implementare soluzioni di sicurezza endpoint di nuova generazione capaci di rilevare e bloccare tecniche di evasione avanzate.
- Aggiornare regolarmente i sistemi: Mantenere tutti i sistemi operativi e le applicazioni aggiornati per ridurre le vulnerabilità sfruttabili.
- Formare il personale: Educare i dipendenti sui rischi di phishing e social engineering, spesso utilizzati come vettori iniziali di infezione.
- Segmentare le reti: Implementare una solida segmentazione di rete per limitare la diffusione laterale in caso di compromissione.
- Monitorare le attività API: Prestare attenzione all’uso insolito di API di sistema, in particolare quelle legate alla manipolazione della memoria.
- Implementare il principio del minimo privilegio: Limitare i privilegi degli utenti e delle applicazioni al minimo necessario per svolgere le loro funzioni.
- Effettuare regolari scansioni di vulnerabilità: Identificare e correggere proattivamente le debolezze nei sistemi prima che possano essere sfruttate.
- Sviluppare un piano di risposta agli incidenti: Preparare e testare regolarmente procedure di risposta rapida in caso di rilevamento di una compromissione.
Il ritorno di Bookworm, nove anni dopo la sua scoperta iniziale, dimostra la persistenza e l’adattabilità dei gruppi APT come Stately Taurus. La capacità di questi attori di rinnovare e perfezionare i loro strumenti nel tempo rappresenta una sfida continua per la comunità della sicurezza informatica.
Le organizzazioni, specialmente quelle operanti in settori sensibili o in regioni geopoliticamente rilevanti come il Sud-Est asiatico, devono rimanere vigili e adottare un approccio proattivo alla sicurezza. La combinazione di tecnologie avanzate di rilevamento, formazione del personale e best practice di sicurezza rimane la migliore difesa contro queste minacce in evoluzione.
Mentre Bookworm continua a evolversi, è probabile che vedremo ulteriori varianti e tecniche di evasione in futuro. La collaborazione tra settore pubblico e privato, la condivisione di informazioni sulle minacce e l’investimento continuo in ricerca e sviluppo nel campo della sicurezza informatica saranno fondamentali per mantenere il passo con avversari sempre più sofisticati.
In un panorama di minacce in rapida evoluzione, la resilienza informatica non è più un lusso, ma una necessità strategica per organizzazioni di ogni dimensione e settore.
Fonte: https://cybersecuritynews.com/chinese-hackers-using-new-bookworm-malware
