Nel panorama della cybersecurity, gli eventi si susseguono rapidamente e non sempre seguono il copione previsto. Recentemente, una segnalazione da parte dei ricercatori della Symantec ha rivelato una collaborazione sorprendente: il gruppo RA World, noto per la sua attività di ransomware, ha utilizzato strumenti e tecniche tipicamente associati a operazioni di spionaggio riconducibili a gruppi di hacker legati alla Cina. Questo sviluppo solleva interrogativi sulle interconnessioni tra il crimine informatico e le attività di intelligence, un ambito spesso considerato separato.
Le origini del toolset e l'identificazione della minaccia
Il toolset utilizzato dal gruppo RA World è emerso per la prima volta nel mese di luglio, presentando varianti di PlugX, un noto backdoor personalizzato. Secondo le analisi, i timestamp del toolset coincidono con quelli rilevati dalla Palo Alto Networks nella variante Thor di PlugX, associata a gruppi di spionaggio cinesi quali Fireant, Mustang Panda ed Earth Preta. Le similitudini sono state riscontrate anche con la variante di PlugX tipo 2 identificata da Trend Micro.
Le attività di spionaggio che hanno coinvolto questa stessa variante di PlugX sono continuate ad agosto, con l'attacco a un governo di un paese dell'Europa sudorientale, seguito da un’incursione in un ministero governativo di uno stato del Sudest asiatico. Un'altra vittima è stata un operatore telefonico di quella regione, attaccato a settembre 2024, e infine, a gennaio, l'oggetto della minaccia è stato nuovamente un ministero di un'altra nazione del Sudest asiatico. Questi eventi mettono in luce come il gruppo RA World stia raccogliendo dati sensibili mentre si mimetizza attraverso attacchi ransomware.
Teorie sul legame tra ransomware e spionaggio
I ricercatori di Symantec hanno avanzato diverse ipotesi riguardo a questa collaborazione inusuale. Vi sono indizi che suggeriscono come questo attaccante possa essere coinvolto in operazioni di ransomware da un po' di tempo. Un rapporto di Palo Alto Networks ha trovato collegamenti con Bronze Starlight, un attore cinese noto per l'uso di payload ransomware. Tra gli strumenti utilizzati nelle operazioni ransomware si è rilevato un tool di proxy, NPS, sviluppato da un creatore cinese e precedentemente usato da Bronze Starlight stesso.
Ma perché un attore coinvolto in operazioni di spionaggio avrebbe intrapreso anche attacchi ransomware? È interessante notare che, sebbene non sia raro che i gruppi legati alla Corea del Nord effettuino attacchi finanziariamente motivati, non vi è traccia di un simile approccio tra i gruppi di spionaggio cinesi. Un'altra possibilità è che il ransomware sia stato impiegato come una sorta di mascheramento, per nascondere il vero scopo delle intrusioni. Tuttavia, l’operazione ransomware non è risultata particolarmente efficace nel celare gli strumenti utilizzati, soprattutto dati i collegamenti con attacchi di spionaggio precedenti.
Analisi delle motivazioni: un doppio metodo in azione
Gli esperti hanno notato alcuni dettagli che possono far riflettere sul comportamento di questo attaccante. La natura strategica dell'obiettivo ransomware sembrava meno significativa rispetto a quella degli obiettivi di spionaggio. Potrebbe sembrare strano dedicarsi a mascherare la propria campagna per un obiettivo di tale consistenza. In aggiunta, l’approccio del gruppo RA World nel cercare di ottenere un riscatto dalle vittime ha suscitato ulteriori interrogativi. Apparentemente, il gruppo ha investito tempo nel dialogo con le vittime per cercare di recuperare denaro, una strategia poco comune se l'intento fosse stato solo quello di deviare l'attenzione.
William B. della Mandiant ha fornito un’ulteriore prospettiva sull’argomento, notando l’impiego di malware sponsorizzato dallo stato da parte di gruppi criminali. Le sue osservazioni portano a considerare l’esistenza di entità che operano con motivazioni multiple, cercando sia guadagni finanziari che opportunità di spionaggio. Questo scenario complesso mette in evidenza l'evoluzione delle minacce informatiche e le interconnesioni tra diversi gruppi e le loro intenzioni, costringendo un’attenzione sempre più vigilante nel campo della cybersecurity.