• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Speciale Stampanti
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Phishing e spam: cosa aspettarsi (ancora) nel 2026
    • IBM Bob, la propria piattaforma agentica per lo sviluppo software, si aggiorna
    • Infobip acquisisce SocketLabs per rafforzare la propria infrastruttura di enterprise e-mail
    • Manifatturiero: la sua tutela deve cambiare
    • Cyber resilienza: Lenovo semplifica la sicurezza contro le minacce AI con un modello unificato
    • Nutanix rafforza la governance della AI agentica e il controllo dei costi con Agent Gateway
    • ESET ha contribuito a smantellare la botnet Amadey
    • Sophos Fusion: la nuova piattaforma cybersecurity per contrastare ransomware e attacchi avanzati
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»FamousSparrow: il gruppo APT cinese torna a colpire

    FamousSparrow: il gruppo APT cinese torna a colpire

    By Redazione LineaEDP31/03/20253 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Dopo anni di sospetta inattività, ESET scopre nuove tecniche di cyberspionaggio da parte del gruppo filo-cinese FamousSparrow ai danni di USA, Messico e Honduras

    FamousSparrow

    I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno condotto un’indagine su alcune attività sospette nella rete di una associazione di categoria statunitense operante nel settore finanziario. Durante le operazioni di supporto alla vittima per la gestione dell’incidente, i ricercatori hanno scoperto la presenza di strumenti malevoli riconducibili a FamousSparrow, un gruppo APT allineato alla Cina. Fino a quel momento, si pensava che il gruppo fosse inattivo, poiché non vi erano stati report pubblici dal 2022. L’indagine di ESET dimostra invece che non solo il gruppo era ancora attivo, ma che nel frattempo aveva anche aggiornato le proprie tecniche, come dimostrato dalle due versioni inedite della backdoor SparrowDoor rilevate all’interno della rete compromessa.

    L’attività del gruppo tra il 2022 e il 2024 ha incluso anche il targeting di un’istituzione governativa in Honduras. Inoltre, è emerso che, poco prima dell’attacco negli USA, il gruppo era riuscito a violare un istituto di ricerca in Messico: entrambe le compromissioni risalgono alla fine di giugno 2024. Le nuove versioni di SparrowDoor mostrano un notevole miglioramento rispetto alle precedenti, sia per qualità del codice che per architettura, e una di esse include la parallelizzazione dei comandi.

    “Pur presentando importanti aggiornamenti, le nuove varianti mantengono elementi riconducibili alle versioni precedenti già note pubblicamente. Anche i loader utilizzati in questi attacchi presentano ampie sovrapposizioni di codice con campioni attribuiti in passato a FamousSparrow”, spiega Alexandre Côté Cyr, ricercatore di ESET autore della scoperta.

    FamousSparrow: la scoperta di ESET

    Per ottenere l’accesso iniziale alle reti delle vittime, FamousSparrow ha sfruttato una webshell installata su un server IIS. ESET non è riuscita a determinare l’exploit specifico utilizzato per il deployment delle webshell, ma entrambi i sistemi compromessi eseguivano versioni obsolete di Windows Server e Microsoft Exchange, vulnerabili a exploit pubblicamente disponibili.

    Nel corso della campagna, sono stati impiegati strumenti personalizzati e malware già utilizzati da altri gruppi APT allineati alla Cina, oltre a tool di pubblico dominio. I payload finali erano le backdoor SparrowDoor e ShadowPad. Tra le funzionalità osservate figurano esecuzione di comandi, operazioni sul file system, keylogging, trasferimento di file, gestione dei processi, monitoraggio delle modifiche ai file e acquisizione di screenshot.

    Nel settembre 2024, il Wall Street Journal ha pubblicato un articolo secondo cui alcuni provider di servizi internet statunitensi erano stati compromessi da un attore malevolo denominato Salt Typhoon. Secondo Microsoft, si tratterebbe dello stesso gruppo noto come FamousSparrow o GhostEmperor.

    “È stato il primo report pubblico a sovrapporre queste due entità. Tuttavia, sulla base dei nostri dati e dell’analisi dei report disponibili, riteniamo che FamousSparrow e GhostEmperor siano gruppi distinti. Le similitudini sono poche, mentre le differenze sono molte”, osserva ancora Côté Cyr.

    FamousSparrow è un gruppo di cyberspionaggio attivo almeno dal 2019. ESET ha documentato pubblicamente le sue attività per la prima volta nel 2021, osservando l’utilizzo della vulnerabilità ProxyLogon. Inizialmente noto per attacchi contro strutture alberghiere in diversi Paesi, il gruppo ha successivamente preso di mira governi, organizzazioni internazionali, aziende di ingegneria e studi legali. FamousSparrow è l’unico gruppo conosciuto ad aver impiegato la backdoor SparrowDoor.

    cybersecurity Cyberspionaggio Eset gruppi APT ransomware
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Phishing e spam: cosa aspettarsi (ancora) nel 2026

    17/07/2026

    Manifatturiero: la sua tutela deve cambiare

    16/07/2026

    ESET ha contribuito a smantellare la botnet Amadey

    16/07/2026
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    TrendAI rafforza l’ecosistema: partnership, competenze e innovazione per la cybersecurity del futuro
    TrendAI punta sul canale: competenze, consulenza e servizi gestiti al centro della strategia
    Perché sono importanti i protocolli?
    Titanium: l’evoluzione del Motion Control
    IA in azienda: obblighi normativi, governance e protezione dei dati
    Defence Tech

    Phishing e spam: cosa aspettarsi (ancora) nel 2026

    17/07/2026

    Manifatturiero: la sua tutela deve cambiare

    16/07/2026

    ESET ha contribuito a smantellare la botnet Amadey

    16/07/2026

    Sophos Fusion: la nuova piattaforma cybersecurity per contrastare ransomware e attacchi avanzati

    16/07/2026
    Report

    Frodi basate sull’IA: cresce la risposta delle aziende con difese intelligenti

    09/07/2026

    Servizi di consulenza: i commercialisti italiani sono indietro

    07/07/2026

    Data center: nell’era dell’AI il rischio non è solo tecnologico

    06/07/2026

    IA in crescita, ma il ROI dipende dalla preparazione delle persone

    29/06/2026
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    LineaEDP è una testata giornalistica appartenente al gruppo BitMAT Edizioni, una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2026 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.