I ricercatori TrendAI, specialista globale di AI security e business unit di Trend Micro, hanno scoperto una campagna di cyberspionaggio condotta da un gruppo cybercriminale cinese che sta prendendo di mira enti governativi, IT contractor della difesa e aziende di trasporti nel sud-est asiatico e in un Paese europeo della NATO. La campagna di cyberspionaggio è analizzata nell’ultima ricerca presentata dall’azienda, intitolata “Inside Shadow-Earth-053: A China-Aligned Cyberespionage Campaign Against Government and Defense Sectors in Asia”.
L’attività, denominata SHADOW-EARTH-053, sembra focalizzata sulla raccolta di informazioni e sul furto di proprietà intellettuale e supporta gli interessi strategici della Cina. I ricercatori hanno scoperto che i cybercriminali sfruttano vecchie vulnerabilità di Microsoft Exchange e di IIS, tra cui ProxyLogon, per implementare web shell, impianti SHADOWPAD e strumenti per rubare credenziali, spostarsi lateralmente ed estrarre dati dalle e-mail dei dirigenti.
La particolarità di questa campagna cybercriminale è la sovrapposizione con un altro set di intrusioni, SHADOW-EARTH-054. Quasi la metà degli obiettivi di SHADOW-EARTH-053 è stata colpita anche da SHADOW-EARTH-054, tramite strumenti condivisi e hash di file identici. Questo suggerisce uno sfruttamento ripetuto della stessa infrastruttura esposta, anziché una singola compromissione.
