Hacker cinesi hanno preso di mira oltre 70 organizzazioni globali, secondo SentinelLABS

SentinelLABS scopre un'ampia attività di spionaggio informatico legata alla Cina, che ha preso di mira oltre 70 organizzazioni globali e aziende di sicurezza informatica tra luglio 2024 e marzo 2025. Scopri di più sulle operazioni "PurpleHaze (aka Vixen Panda)" e "ShadowPad" e sulle minacce persistenti.

Un nuovo rapporto dell'azienda di sicurezza informatica SentinelLABS ha rivelato una vasta campagna di attacchi informatici, la cui origine è fortemente ritenuta cinese . Queste attività, avvenute tra luglio 2024 e marzo 2025, hanno preso di mira numerose organizzazioni a livello globale, tra cui agenzie governative, aziende del settore media e, in particolare, SentinelOne.

Nonostante la portata degli attacchi sia stata significativa, SentinelLABS ha confermato che la propria infrastruttura è rimasta intatta. Secondo quanto riferito, nell'ottobre 2024, SentinelLABS ha rilevato le prime attività di indagine mirate ai sistemi di SentinelOne accessibili da Internet. Queste attività facevano parte di un più ampio gruppo di attività sospette denominato PurpleHaze (noto anche come Vixen Panda) .

Successivamente, all'inizio del 2025, SentinelLABS ha contribuito a fermare un'altra intrusione. Questo incidente era collegato a un'operazione più ampia chiamata " ShadowPad " e ha colpito un'azienda responsabile della gestione delle apparecchiature informatiche del personale di SentinelOne. In entrambi gli scenari, i controlli approfonditi effettuati da SentinelLABS hanno confermato che la rete, il software e i dispositivi di SentinelOne non erano stati compromessi.

Gli sforzi congiunti di PurpleHaze e ShadowPad non si sono fermati qui. Hanno colpito oltre 70 organizzazioni diverse in tutto il mondo, tra cui un ente governativo nell'Asia meridionale e un'importante organizzazione mediatica europea. Oltre a queste, anche un'ampia gamma di aziende nei settori manifatturiero, finanziario, delle telecomunicazioni e della ricerca sono state colpite.

SentinelLABS ha collegato con sicurezza questi attacchi coordinati a quelli che definisce "attori di minacce China-nexus". Si tratta di gruppi sospettati di avere forti legami con i programmi di spionaggio del governo cinese. L'indagine ha scoperto connessioni tra alcune intrusioni di PurpleHaze e noti gruppi cinesi di spionaggio informatico, in particolare APT15 e UNC5174.

Gli hacker hanno utilizzato una varietà di strumenti e tecniche avanzate. Un componente chiave del software dannoso era ShadowPad, descritto come una "piattaforma backdoor modulare closed-source" spesso utilizzata da questi gruppi legati alla Cina per spiare e ottenere accesso remoto. È stato implementato anche un altro strumento, parte della famiglia GOREshell, che include varianti di backdoor reverse_ssh .

Questi gruppi utilizzavano spesso reti Operational Relay Box (ORB), un metodo che consente loro di creare una rete di punti di controllo in costante cambiamento, rendendo le loro attività più difficili da tracciare e identificare.

Hanno anche sfruttato specifiche vulnerabilità software, come CVE-2024-8963 e CVE-2024-8190 , a volte sfruttandole prima che venissero rese pubbliche. Inoltre, alcuni attacchi hanno coinvolto strumenti pubblicamente disponibili di The Hacker's Choice (THC), una community di ricercatori di sicurezza informatica.

Craig Jones , vicepresidente delle operazioni di sicurezza presso Ontinue, un fornitore di rilevamento e risposta gestiti (MDR) con sede a Redwood City, California, ha commentato gli ultimi sviluppi affermando: " Ciò che SentinelOne sta osservando ora è la classica attività di collegamento con la Cina, che riecheggia esattamente ciò che è stato monitorato durante gli attacchi al Pacific Rim quando dirigevo le attività di difesa presso Sophos " .

"All'epoca, vedevamo la stessa strategia: operazioni altamente mirate, installazioni stealth su dispositivi edge e un'attenzione incessante all'accesso a lungo termine a infrastrutture di alto valore. Questa non è una novità, è la continuazione di una strategia ben consolidata " , ha aggiunto Craig.

Questi risultati dettagliati evidenziano la natura sofisticata e persistente di queste operazioni sponsorizzate dallo Stato e sottolineano la necessità critica di un monitoraggio costante in tutti i settori.

(Immagine di Monica Volpin da Pixabay)