19 Luglio 2026
HomeAttualitàGruppo informatico cinese attacca i provider Telco in Medio Oriente

Gruppo informatico cinese attacca i provider Telco in Medio Oriente

In collaborazione con QGroup GmbH, SentinelLabs ha recentemente osservato attività di minaccia iniziale rivolte al settore delle telecomunicazioni. E’ molto probabile che questi attacchi siano stati condotti da un attore di spionaggio informatico cinese legato alla Operazione Soft Cell.

La fase di attacco iniziale prevede l’infiltrazione nei server Microsoft Exchange per distribuire webshell utilizzate per l’esecuzione di comandi. Una volta stabilito un punto d’appoggio, gli aggressori conducono una serie di attività di ricognizione, furto di credenziali, ed esfiltrazione di dati.

L’implementazione di malware per il furto di credenziali personalizzate è fondamentale per questa nuova campagna. Il malware ha implementato una serie di modifiche su strumenti closed-source.

Valutiamo che mim221 è una versione recente di una funzionalità di furto di credenziali mantenuta attivamente aggiornata con nuove funzionalità anti-rilevamento. L’uso di moduli speciali che implementano una gamma di tecniche avanzate mostra il lavoro attivo degli attori delle minacce a far avanzare il proprio set di strumenti verso la massima attività.

In termini di attribuzione, gli strumenti suggeriscono un collegamento immediato alla campagna “Operazione Soft Cell”, ma rimangono leggermente vaghi sullo specifico attore della minaccia. Quella campagna è stata pubblicamente associata a Gallium e possibili connessioni ad APT41. L’APT41 (Advanced Persistent Threat) è un gruppo di hacker che si ritiene provenga dalla Cina. Sono anche conosciuti con lo pseudonimo di Winnti Group.

Date le precedenti sovrapposizioni di target e TTP e un’evidente familiarità con gli ambienti delle vittime, è probabile che Gallium sia coinvolto. Tuttavia, esiste la possibilità di condivisione di strumenti a codice chiuso tra attaccanti diversi ma legati allo stato cinese e la possibilità di un fornitore condiviso.

Indipendentemente dalle specifiche del clustering, questa scoperta evidenzia l’aumento del ritmo operativo degli attori cinesi del cyberspionaggio e il loro costante investimento nel far avanzare il loro arsenale di malware per eludere il rilevamento.

E’ altamente probabile che le fasi di attacco iniziali siano state condotte da attori di minacce cinesi con motivazioni di spionaggio informatico. I fornitori di telecomunicazioni sono spesso bersagli di attività di spionaggio a causa dei dati sensibili che detengono.

L’operazione Soft Cell è stata associata al gruppo Gallium sulla base dei TTP e di alcuni dei domini che il gruppo ha utilizzato.

Attivo almeno dal 2012, Gallium è un gruppo sponsorizzato dallo stato cinese che prende di mira entità di telecomunicazioni, finanziarie e governative nel sud-est asiatico, in Europa, in Africa e nel Medio Oriente. Sebbene l’attenzione originale del gruppo fosse sui fornitori di telecomunicazioni, rapporti recenti suggeriscono che Gallium ha recentemente esteso il targeting ad altri settori.

Il vettore di intrusione iniziale e la maggior parte dei TTP che abbiamo osservato corrispondono strettamente a quelli condotti da o associati agli attori di Soft Cell. Ciò include l’implementazione di webshell sui server Microsoft Exchange per stabilire un punto d’appoggio iniziale, seguendo le stesse convenzioni di denominazione dei file, utilizzando lo strumento LG e gli strumenti integrati, e Windows per la raccolta di informazioni su utenti e processi.

Vale la pena notare che le attività degli aggressori in uno degli obiettivi suggerivano una precedente conoscenza dell’ambiente. Qualche mese prima avevamo osservato un’attività allo stesso target, che abbiamo attribuito a Gallium principalmente sulla base dell’uso della backdoor PingPull e dei TTP del gruppo.

Per chi volesse approfondire con elementi tecnici e analitici questo è il link originale:

https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/

Alex Trizio
Alex Triziohttps://www.alground.com
Da sempre appassionato di informatica e nuove tecnologie. Si avvicina al mondo dell’open source e partecipa attivamente allo sviluppo del sistema operativo Linux, approfondendo sempre di più il settore di sviluppo e ingegneria software, collaborando con aziende statunitensi. Contemporaneamente, avvia e amplia studi sulla comunicazione e sul comportamento sociale e della comunicazione non verbale. Questi progetti lo portano a lunghe collaborazioni all’estero, dove approfondisce le interazioni fra software ed essere umano, che sfociano nella specializzazione in intelligenza artificiale. I molti viaggi in Medio Oriente aumentano la passione per la politica e la geopolitica internazionale. Nel 2004, osserva lo sviluppo dei social network e di una nuova fase del citizen journalism, e si rende conto che le aziende necessitano di nuovi metodi per veicolare i contenuti. Questo mix di elevate competenze si sposa perfettamente con il progetto di Web Reputation della madre, Brunilde Trizio. Ora Alessandro è Amministratore e Direttore strategico del Gruppo Trizio.
Altri articoli

TI POSSONO INTERESSARE

Telecamere obbligatorie in auto: l’Europa ci protegge o ci sorveglia?

Dal 7 luglio 2026 tutte le nuove auto immatricolate nell’Unione Europea dovranno essere dotate di un sistema di Advanced Driver Distraction Warning, un dispositivo...

Gli Usa utilizzano droni di mare contro l’Iran. La nuova frontiera della guerra navale

Gli attacchi con droni di superficie statunitensi contro il porto iraniano di Bandar Abbas rappresentano una svolta storica nella guerra navale contemporanea, segnando la...

Stati Uniti e Iran continuano i colloqui

Donald Trump ha annunciato che Stati Uniti e Iran hanno concordato di proseguire i colloqui, ma ha dichiarato che la tregua è ormai finita,...

L’occhio di Bruxelles sulle chat: l’Europa al bivio tra protezione e sorveglianza di massa

L'intersezione tra la tutela dei minori e il diritto fondamentale alla privacy digitale rappresenta una delle sfide legislative e tecnologiche più complesse del ventunesimo...

La Cpu migliore? Ryzen 9 9950X3D contro Core Ultra 9 285K

Il 2026 è l’anno in cui il mercato delle CPU desktop ha smesso di essere una guerra di numeri di core e ha iniziato...

Vannacci: potrei votare Meloni al Quirinale

Roberto Vannacci, ex generale e oggi protagonista della nuova destra “identitaria”, ha aperto pubblicamente alla possibilità di votare Giorgia Meloni al Quirinale, inserendosi così...

L’America rischia di perdere la guerra del futuro

Per oltre trent’anni gli Stati Uniti hanno vissuto nella convinzione di possedere un vantaggio militare strutturale, quasi intoccabile.Dalla Guerra del Golfo in poi, le...

Starmer si dimette: Andy Burnham si prepara a prendere il controllo di Downing Street

A meno di due anni dalla trionfale vittoria elettorale che aveva riportato il Labour al governo dopo la lunga stagione conservatrice, Keir Starmer ha...

Claude Mythos 5 e Fable 5: capacità, pericoli e vulnerabilità dell’AI di frontiera

La genesi dei modelli di classe Mythos e la strategia di rilascio di Anthropic Il panorama globale dell'intelligenza artificiale di frontiera è stato scosso il...