92 è la metà di 99

Quando il software della stampante diventa un'arma: Il gruppo hacker cinese UNC6384 attacca i diplomatici europei

Immaginate di ricevere un'e-mail con l'ordine del giorno di un importante incontro dell'UE. Strano per le persone "normali", normali attività quotidiane per deputati al Parlamento europeo, politici o diplomatici. Suona innocuo all'inizio, vero?

È proprio questa apparente normalità che gli hacker sfruttano per invadere i sistemi delle istituzioni diplomatiche. Arctic Wolf Labs ha rivelato una campagna piuttosto sofisticata, Mostra quanto sia diventato creativo e pericoloso lo spionaggio informatico moderno.

Chi c'è dietro?

Gli attacchi vanno al conto di UNC6384, Un gruppo di hacker cinesi specializzato in spionaggio. Queste persone non sono ragazzi di copione: sono professionisti che presumibilmente lavorano per conto del governo cinese. Il tuo obiettivo? Diplomatici europei, soprattutto in Ungheria, Belgio, Serbia, Italia e Paesi Bassi.

Cosa rende speciale questo gruppo: Hanno stretti legami con un altro noto gruppo chiamato "Mustang Panda". Entrambi condividono strumenti, approcci e obiettivi simili, come una sorta di famiglia oscura nel sottosuolo cibernetico.

Come funziona l'attacco? Uno sguardo dietro le quinte

Ora sta diventando tecnico, ma non ti preoccupare, te lo spiego passo dopo passo in modo da farti capire:

Fase 1: L'e-mail dell'esca

Tutto inizia con un'e-mail ingannevolmente reale. Gli hacker si sono impegnati molto: Essi utilizzano temi quali l'"Agenda per le riunioni dell'UE a Bruxelles il 26 settembre" o il "Workshop sugli acquisti di armamenti della NATO". Questi sono eventi reali che hanno effettivamente avuto luogo! Le e-mail contengono un link o un allegato che sembra un normale PDF.

Fase 2: La vulnerabilità di Windows

Ecco la parte intelligente: Gli hacker usano un Vulnerabilità di sicurezza di Windows ZDI-CAN-25373, che è stato reso pubblico solo nel marzo 2025. Questa vulnerabilità riguarda i file LNK (queste sono le piccole icone di collegamento sul desktop).

La cosa geniale a riguardo: È possibile nascondere i comandi invisibili in questi file "riempiendoli" di spazi. Per te, il file sembra Agenda_Meeting 26 Sep Brussels.lnk - ma se clicchi su di esso, succede molto di più in background.

Fase 3: Il trucco della stampante (DLL Side-Loading)

Ora è davvero raffinato. Il file LNK scarica per la prima volta un programma reale e legittimo: Uno Software per stampanti Canon chiamato cnmpaui.exe. Questo software è anche firmato digitalmente, quindi confermato da Canon come affidabile!

Ma ecco il trucco: Insieme al software reale arriva un file manipolato chiamato cnmpaui.dll. Quando Windows avvia il programma Canon, cerca questo file DLL (questo è una sorta di utility). Windows prima trova la versione manipolata nella stessa cartella e la carica senza brontolare.

Pensala come una guardia del corpo (il vero software Canon) che inconsapevolmente porta un ladro (la cattiva DLL) nell'edificio perché indossa l'uniforme giusta.

Fase 4: Il malware crittografato

La DLL manipolata ha un solo lavoro: Si apre un terzo file chiamato cnmplog.dat. Questo file sembra spazzatura a prima vista, ma è crittografato con una chiave RC4. La DLL li decifra e tada! esce il malware vero e proprio: PlugX.

Cos'è PlugX e perché è così pericoloso?

PlugX è come una spia digitale che vive permanentemente nel tuo sistema. Questo malware è in circolazione dal 2008 e continua ad evolversi. PlugX può:

  • Registra ogni battitura (keylogging)
  • Caricare e scaricare file
  • Eseguire i comandi da remoto
  • Auto-integrarsi nel sistema in modo che sopravviva anche dopo il riavvio
  • Raccogliere informazioni sul tuo sistema

La fessura: PlugX funziona «in memoria» del software Canon legittimo. La maggior parte degli scanner antivirus guarda solo i file eseguibili (.exe), ma qui il malware è nascosto quasi invisibile in un programma fidato.

Il camuffamento: L'inganno perfetto

Mentre tutto ciò accade in background, il computer ti mostrerà un vero documento PDF, come l'ordine del giorno effettivo della riunione dell'UE. Pensi che sia tutto normale mentre gli hacker stanno solo aprendo la porta sul retro.

Il malware si deposita quindi comodamente:

  • Copia in cartelle nascoste come "SamsungDriver", "IntelNet" o "DellSetupFiles" (suona innocuo, giusto?)
  • È registrato nel registro di Windows con il nome "CanonPrinter", in modo che si carichi automaticamente ogni volta che si avvia
  • Il nome della cartella cambia regolarmente per confondere il software di sicurezza

Il centro di comando

Una volta installato, PlugX contatta i suoi capi tramite connessioni HTTPS crittografate (sembra normale traffico web crittografato). Gli hacker utilizzano domini come:

  • racineupci[.]org
  • Dorareco[.]net
  • naturadeco[.]net

Questi indirizzi sono scelti appositamente in modo che suonino innocui. La comunicazione viene eseguita tramite la porta 443 (impostazione predefinita per i siti Web crittografati) e si presentano come un normale browser (Internet Explorer 9, se qualcuno è interessato).

Sviluppo in tempo reale

Particolarmente inquietante: Gli hacker stanno sviluppando attivamente i loro strumenti. Tra settembre e ottobre 2025 hanno ridotto il loro "CanonStager" (la parte che carica il malware) da circa 700 KB a soli 4 KB!

Questo è come ridurre una custodia per strumenti antieffrazione dalle dimensioni di una borsa da viaggio a una custodia; Più piccolo, meno evidente, ma altrettanto efficace.

Perché i diplomatici?

La domanda è, ovviamente: Perché tutto questo? Beh, i diplomatici hanno accesso a informazioni altamente sensibili:

  • Posizioni negoziali nel caso di accordi internazionali
  • Cooperazione dell'UE in materia di difesa e i piani della NATO
  • Decisioni di politica economica, che potrebbe incidere sugli interessi della Cina
  • Relazioni tra i paesi dell'UE, Dove sono le tensioni, dov'è l'unità?

Se la Cina sa cosa sta pianificando l'Europa, ha un enorme vantaggio nei negoziati, negli accordi commerciali o nelle mosse geopolitiche.

Gli argomenti delle e-mail di esca non sono scelti per caso:

  • Gestione delle frontiere tra l'UE e i Balcani occidentali – importante per le rotte commerciali
  • Approvvigionamento di armamenti della NATO – Capacità militari europee
  • Comunità politica europea – Come è coordinata l'Europa?

Cosa rende speciale questa campagna?

  1. Regolazione rapida: La vulnerabilità di Windows è stata rilasciata nel marzo 2025 ed è stata già utilizzata da UNC6384 a settembre. Solo sei mesi! Questo dimostra quanto velocemente questi gruppi possono sfruttare nuove vulnerabilità.
  2. Perfetta ingegneria sociale: Gli hacker utilizzano eventi reali con dati, posizioni e argomenti corretti. Ovviamente hanno accesso ai calendari diplomatici o fanno ricerche molto approfondite.
  3. Strategia multitraccia: Oltre a questa campagna di posta elettronica, UNC6384 gestisce anche altri metodi di attacco, come il dirottamento di portali Wi-Fi (noti come "pagine di accesso" in hotel o aeroporti).
  4. Espansione in Europa: In precedenza, UNC6384 si concentrava sul sud-est asiatico. Ora hanno preso di mira l'Europa, che mostra una missione ampliata o squadre aggiuntive.

Cosa si può fare al riguardo?

Per le organizzazioni:

  • Blocca i file LNK da fonti sospette. Poiché non esiste una patch Microsoft ufficiale per questa vulnerabilità, è necessario essere creativi.
  • Blocca i server di comando noti nei tuoi firewall
  • Ricerche di software per stampanti Canon in luoghi insoliti – questo normalmente non appartiene all'elenco temporaneo degli utenti!
  • Forma i tuoi dipendenti Riconoscere le email di phishing

Per gli utenti normali:

  • Essere Scettica sugli allegati e-mail, Anche se sembrano professionali
  • Attenzione Estensioni di file: Un "Agenda.pdf" non dovrebbe improvvisamente chiamarsi "Agenda.pdf.lnk"
  • In caso di dubbio, chiedere al mittente, ma non rispondendo all'e-mail sospetta, ma tramite un altro canale (telefono, chat separata)
  • Mantieni aggiornato il tuo sistema (anche se non c'è ancora una patch, gli aggiornamenti aiutano contro molti altri attacchi)

Il quadro più ampio

Questa campagna è un ottimo esempio di spionaggio informatico moderno a livello statale:

  • pazientemente: Gli hacker prendono tempo per selezionare le loro vittime e creare esche su misura
  • Professionista: Attacchi multistrato con crittografia, meccanismi mimetici e trucchi anti-analisi
  • Destinato: Nessun attacco indiscriminato, ma selezione precisa di bersagli di alta qualità
  • Persistente: Una volta all'interno, non vengono rilevati e raccolgono dati per mesi o anni.

Questo non è un crimine informatico nel senso classico (nessun ransomware, nessuna carta di credito rubata) questo è Spionaggio strategico nell'era digitale. E funziona spaventosamente bene.

conclusione

La campagna UNC6384 dimostra in modo impressionante quanto siano sofisticati i moderni attacchi informatici. Dalla manipolazione psicologica (ingegneria sociale) alla sofisticazione tecnica (dirottamento DLL, crittografia) alla sicurezza operativa (cambiamento di cartelle, software legittimo come camuffamento) -> è qui che lavorano i veri professionisti.

Per le istituzioni diplomatiche europee si tratta di un campanello d'allarme: La sicurezza digitale è importante tanto quanto la sicurezza fisica. Un sistema compromesso può fare tanto danno quanto una spia infiltrata, solo più veloce e più difficile da rilevare.

La buona notizia? Attraverso l'attenzione e misure di sicurezza adeguate, molti di questi attacchi possono essere prevenuti o almeno rilevati in una fase precoce. La cattiva notizia? Gli aggressori non dormono e stanno diventando sempre più creativi.

Stai vigile la' fuori!

Stephan
| | | |
verso l'alto | homepage | per cercare