Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una campagna di cyberspionaggio denominata PassiveNeuron, che prende di mira i server Windows di enti governativi, società finanziarie e industriali in Asia, Africa e America Latina. La campagna è stata individuata nel dicembre 2024 ed è proseguita fino ad agosto 2025.
Dopo sei mesi di inattività, PassiveNeuron ha ripreso le operazioni, utilizzando tre strumenti principali, due dei quali precedentemente sconosciuti, per ottenere e mantenere l'accesso all'interno delle reti prese di mira.
Gli strumenti sono:
• Neursite, una modular backdoor;
• NeuralExecutor, un sistema basato su .NET;
• Cobalt Strike, un framework di penetration testing spesso utilizzato dai cybercriminali.
La backdoor Neursite è in grado di raccogliere informazioni di sistema, gestire i processi in esecuzione e indirizzare il traffico di rete attraverso host compromessi, consentendo ai cybercriminali di muoversi lateralmente all'interno di una rete. Sono stati rilevati campioni in grado di comunicare sia con server di comando e controllo esterni che con sistemi interni compromessi.
NeuralExecutor è stato progettato per distribuire payload aggiuntivi. L'impianto supporta diversi metodi di comunicazione ed è in grado di caricare ed eseguire assembly .NET ricevuti dal proprio server di comando e controllo.
“PassiveNeuron si distingue per la sua abilità nel compromettere i server, che spesso rappresentano la base delle reti aziendali”, ha affermato Georgy Kucherin, Security Researcher del GReAT. “I server esposti alla rete Internet sono obiettivi molto ambiti dai gruppi APT (Advanced Persistent Threat), poiché un singolo host compromesso può fornire l'accesso a sistemi critici. È quindi essenziale ridurre al minimo le superfici di attacco correlate e monitorare costantemente le applicazioni server per rilevare e bloccare potenziali attacchi”.
Da alcuni campioni osservati dal GReAT, è emerso che i nomi delle funzioni sono stati sostituiti con stringhe contenenti caratteri cirillici, introdotti intenzionalmente dagli aggressori. La presenza di questi elementi richiede un'attenta valutazione durante l'attribuzione, poiché potrebbero costituire false tracce volte a depistare le analisi. Sulla base delle tattiche, delle tecniche e delle procedure osservate, Kaspersky ritiene che la campagna sia probabilmente associata a gruppi di hacker di madrelingua cinese. All'inizio del 2024, i ricercatori di Kaspersky avevano già rilevato l'attività di PassiveNeuron e descritto la campagna come altamente sofisticata.
Maggiori informazioni relative alla campagna, sono disponibili nel report pubblicato su Securelist.com.
Per evitare questi attacchi mirati da parte di soggetti noti o sconosciuti, i ricercatori di Kaspersky consigliano di:
· Fornire ai team SOC le più recenti informazioni relative alla threat intelligence (TI). Il Kaspersky Threat Intelligence Portal è un importante strumento per la TI aziendale, fornisce dati e approfondimenti sugli attacchi informatici raccolti da Kaspersky in oltre 20 anni di attività.
· Migliorare le competenze del team di sicurezza informatica per affrontare le minacce mirate più recenti attraverso percorsi di formazione online sviluppati dagli esperti del GReAT di Kaspersky
· Per il rilevamento degli endpoint, l'analisi e la risoluzione tempestiva degli incidenti, implementare soluzioni EDR come Kaspersky Endpoint Detection and Response.
· Implementare una soluzione di sicurezza aziendale in grado di rilevare tempestivamente le minacce avanzate a livello del network, come Kaspersky Anti Targeted Attack Platform, oltre ad adottare una protezione essenziale degli endpoint.
· Introdurre corsi di formazione sulla sicurezza e fornire competenze pratiche al proprio team, siccome molti attacchi mirati iniziano con il phishing o altre tecniche di social engineering. Ad esempio attraverso la piattaforma Kaspersky Automated Security Awareness Platform.
Global Research & Analysis Team
Fondato nel 2008, il Global Research & Analysis Team (GReAT) è il cuore di Kaspersky e si occupa di scoprire APT, campagne di cyberspionaggio, principali malware, ransomware e strategie criminali clandestine in tutto il mondo. Oggi il GReAT è composto da oltre 35 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Professionisti della sicurezza di grande esperienza che guidano l’azienda nella ricerca e nell’innovazione anti-malware, mettendo a disposizione expertise, passione e curiosità senza precedenti per la ricerca e l’analisi delle minacce informatiche.
