05 Luglio 2026
HomeAttualitàGruppo informatico cinese attacca i provider Telco in Medio Oriente

Gruppo informatico cinese attacca i provider Telco in Medio Oriente

In collaborazione con QGroup GmbH, SentinelLabs ha recentemente osservato attività di minaccia iniziale rivolte al settore delle telecomunicazioni. E’ molto probabile che questi attacchi siano stati condotti da un attore di spionaggio informatico cinese legato alla Operazione Soft Cell.

La fase di attacco iniziale prevede l’infiltrazione nei server Microsoft Exchange per distribuire webshell utilizzate per l’esecuzione di comandi. Una volta stabilito un punto d’appoggio, gli aggressori conducono una serie di attività di ricognizione, furto di credenziali, ed esfiltrazione di dati.

L’implementazione di malware per il furto di credenziali personalizzate è fondamentale per questa nuova campagna. Il malware ha implementato una serie di modifiche su strumenti closed-source.

Valutiamo che mim221 è una versione recente di una funzionalità di furto di credenziali mantenuta attivamente aggiornata con nuove funzionalità anti-rilevamento. L’uso di moduli speciali che implementano una gamma di tecniche avanzate mostra il lavoro attivo degli attori delle minacce a far avanzare il proprio set di strumenti verso la massima attività.

In termini di attribuzione, gli strumenti suggeriscono un collegamento immediato alla campagna “Operazione Soft Cell”, ma rimangono leggermente vaghi sullo specifico attore della minaccia. Quella campagna è stata pubblicamente associata a Gallium e possibili connessioni ad APT41. L’APT41 (Advanced Persistent Threat) è un gruppo di hacker che si ritiene provenga dalla Cina. Sono anche conosciuti con lo pseudonimo di Winnti Group.

Date le precedenti sovrapposizioni di target e TTP e un’evidente familiarità con gli ambienti delle vittime, è probabile che Gallium sia coinvolto. Tuttavia, esiste la possibilità di condivisione di strumenti a codice chiuso tra attaccanti diversi ma legati allo stato cinese e la possibilità di un fornitore condiviso.

Indipendentemente dalle specifiche del clustering, questa scoperta evidenzia l’aumento del ritmo operativo degli attori cinesi del cyberspionaggio e il loro costante investimento nel far avanzare il loro arsenale di malware per eludere il rilevamento.

E’ altamente probabile che le fasi di attacco iniziali siano state condotte da attori di minacce cinesi con motivazioni di spionaggio informatico. I fornitori di telecomunicazioni sono spesso bersagli di attività di spionaggio a causa dei dati sensibili che detengono.

L’operazione Soft Cell è stata associata al gruppo Gallium sulla base dei TTP e di alcuni dei domini che il gruppo ha utilizzato.

Attivo almeno dal 2012, Gallium è un gruppo sponsorizzato dallo stato cinese che prende di mira entità di telecomunicazioni, finanziarie e governative nel sud-est asiatico, in Europa, in Africa e nel Medio Oriente. Sebbene l’attenzione originale del gruppo fosse sui fornitori di telecomunicazioni, rapporti recenti suggeriscono che Gallium ha recentemente esteso il targeting ad altri settori.

Il vettore di intrusione iniziale e la maggior parte dei TTP che abbiamo osservato corrispondono strettamente a quelli condotti da o associati agli attori di Soft Cell. Ciò include l’implementazione di webshell sui server Microsoft Exchange per stabilire un punto d’appoggio iniziale, seguendo le stesse convenzioni di denominazione dei file, utilizzando lo strumento LG e gli strumenti integrati, e Windows per la raccolta di informazioni su utenti e processi.

Vale la pena notare che le attività degli aggressori in uno degli obiettivi suggerivano una precedente conoscenza dell’ambiente. Qualche mese prima avevamo osservato un’attività allo stesso target, che abbiamo attribuito a Gallium principalmente sulla base dell’uso della backdoor PingPull e dei TTP del gruppo.

Per chi volesse approfondire con elementi tecnici e analitici questo è il link originale:

https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/

Alex Trizio
Alex Triziohttps://www.alground.com
Da sempre appassionato di informatica e nuove tecnologie. Si avvicina al mondo dell’open source e partecipa attivamente allo sviluppo del sistema operativo Linux, approfondendo sempre di più il settore di sviluppo e ingegneria software, collaborando con aziende statunitensi. Contemporaneamente, avvia e amplia studi sulla comunicazione e sul comportamento sociale e della comunicazione non verbale. Questi progetti lo portano a lunghe collaborazioni all’estero, tra USA e Israele, dove approfondisce le interazioni fra software ed essere umano, che sfociano nella specializzazione in intelligenza artificiale. I molti viaggi in Medio Oriente aumentano la passione per la politica e la geopolitica internazionale. Nel 2004, osserva lo sviluppo dei social network e di una nuova fase del citizen journalism, e si rende conto che le aziende necessitano di nuovi metodi per veicolare i contenuti. Questo mix di elevate competenze si sposa perfettamente con il progetto di Web Reputation della madre, Brunilde Trizio. Ora Alessandro è Amministratore e Direttore strategico del Gruppo Trizio.
Altri articoli

TI POSSONO INTERESSARE

Vannacci: potrei votare Meloni al Quirinale

Roberto Vannacci, ex generale e oggi protagonista della nuova destra “identitaria”, ha aperto pubblicamente alla possibilità di votare Giorgia Meloni al Quirinale, inserendosi così...

L’America rischia di perdere la guerra del futuro

Per oltre trent’anni gli Stati Uniti hanno vissuto nella convinzione di possedere un vantaggio militare strutturale, quasi intoccabile.Dalla Guerra del Golfo in poi, le...

Starmer si dimette: Andy Burnham si prepara a prendere il controllo di Downing Street

A meno di due anni dalla trionfale vittoria elettorale che aveva riportato il Labour al governo dopo la lunga stagione conservatrice, Keir Starmer ha...

Claude Mythos 5 e Fable 5: capacità, pericoli e vulnerabilità dell’AI di frontiera

La genesi dei modelli di classe Mythos e la strategia di rilascio di Anthropic Il panorama globale dell'intelligenza artificiale di frontiera è stato scosso il...

Patto migratorio o remigrazione? Le nuove norme

L'Europa chiude le porte: come il Patto Migratorio del 2026 sta riscrivendo le regole dell'asilo e del rimpatrio Nell'arco di pochi mesi, l'Unione Europea ha...

Trump spegne Fable e Mythos: così la sicurezza nazionale ridisegna la mappa dell’intelligenza artificiale

Gli Stati Uniti hanno ordinato lo spegnimento globale di Fable 5 e Mythos 5, i modelli di intelligenza artificiale più avanzati di Anthropic, nel...

Claude Fable 5, il modello che porta al pubblico la potenza di Mythos

Con Claude Fable 5 Anthropic prova un equilibrio delicato: offrire al grande pubblico la potenza dei suoi modelli di classe Mythos, limitandone al tempo...

Belfast si ribella. Il caso Musk, social e politica britannica

Lunedì sera, in un’area residenziale del nord di Belfast, un uomo è stato aggredito con un coltello fuori da un complesso di appartamenti vicino...

Cosa c’entra la Cina con la richiesta di pace di Zelensky a Putin?

La lettera aperta con cui Volodymyr Zelensky ha invitato Vladimir Putin a un incontro diretto non è soltanto un gesto diplomatico. È anche una...