Bitdefender ha pubblicato una ricerca che conferma l’esistenza di un nuovo gruppo APT, denominato Curly COMrades, che opera a sostegno degli interessi russi. Il gruppo ha preso di mira paesi dell’Europa orientale che stanno attraversando significativi cambiamenti geopolitici, tra cui enti governativi e società del settore della distribuzione dell’energia elettrica. L’obiettivo principale è lo spionaggio e l’esfiltrazione di dati.
Il gruppo Curly COMrades sta implementando una nuova backdoor e sfrutta tecniche di persistenza inedite, che dirottano gli identificatory univoci di classe CLSID, prendendo di mira, in particolare, NGEN, un componente predefinito di Windows.NET Framework utilizzato per la precompilazione degli assembly.
Sfruttando un’attività pianificata disabilitata all’interno di NGEN che il sistema riattiva occasionalmente (ad esempio, durante i periodi di inattività o l’implementazione di app), il gruppo Curly COMrades ha trovato un modo innovativo per ripristinare l’accesso in momenti imprevedibili.
Bitdefender ritiene che l’operazione sia molto diffusa e invita le agenzie governative e le aziende ad applicare gli Indicatori di Compromissione (IOC) descritti nella ricerca. Il gruppo opera da server legittimi ma compromessi, il che lascia presumere che l’infrastruttura finora individuata rappresenti solo una parte della reale capacità operativa.