Titolo: CrowdStrike identifica un nuovo attore dello spionaggio China-Nexus – TechRepublic

Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.

Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.

URL Fonte: https://www.techrepublic.com/article/news-china-nexus-espionage-actor/ CrowdStrike identifica un nuovo attore di spionaggio China-Nexus – TechRepublic [___](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#)[Vai a contenuto](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#primary) * [Prodotti principali](https://www.techrepublic.com/topic/top-products/) * [IA](https://www.techrepublic.com/topic/artificial-intelligence/) * [Sviluppatore](https://www.techrepublic.com/topic/developer/) * [Gestione progetti](https://www.techrepublic.com/topic/project-management/) * [Contabilità](https://www.techrepublic.com/topic/accounting/) * [TechRepublic Premium](https://www.techrepublic.com/premium/) * [TechRepublic Academy](https://academy.techrepublic.com/) * [Libreria risorse](https://www.techrepublic.com/resource-library/) [Vai Premium](https://www.techrepublic.com/premium/ "TechRepublic Premium") * [Prodotti principali](https://www.techrepublic.com/topic/top-products/) * [IA](https://www.techrepublic.com/topic/artificial-intelligence/) * [Sviluppatore](https://www.techrepublic.com/topic/developer/) * [Gestione progetti](https://www.techrepublic.com/topic/project-management/) * [Contabilità](https://www.techrepublic.com/topic/accounting/) * [Gestione progetti](https://www.techrepublic.com/topic/project-management/) * [Innovazione](https://www.techrepublic.com/topic/innovation/) * [Fogli riassuntivi](https://www.techrepublic.com/topic/smart-persons-guides/) * [Tecnologia Offerte di lavoro](https://jobs.techrepublic.com/?source=navbar&utm_source=navbar&utm_medium=partner_referral) [Passa a Premium](https://www.techrepublic.com/premium/ "TechRepublic Premium")  [Argomento](https://www.techrepublic.com/topic/security/) — Sicurezza * [](https://www.facebook.com/sharer.php?u=https%3A%2F%2Fwww.techrepublic.com%2Farticle%2Fnews-china-nexus-espionage-actor%2F&t=CrowdStrike+Identifies+New+China-Nexus+Espionage+Actor) * [](https://www.linkedin.com/sharing/share-offsite/?url=https%3A%2F%2Fwww.techrepublic.com%2Farticle%2Fnews-china-nexus-espionage-actor%2F) * [](https://twitter.com/intent/tweet?text=CrowdStrike+identifica+un+nuovo+attore+di+spionage+di+China-Nexus+https%3A%2F%2Fwww.techrepublic.com%2F%3Fp%3D4339065+via+%40techrepublic) [](https://www.techrepublic.com/meet-the-team/us/techrepublic-staff/) [Personale TechRepublic](https://www.techrepublic.com/meet-the-team/us/techrepublic-staff/) * [Campagna di lunga durata](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#Long-running_campaign "Campagna di lunga durata") * [Tecniche stealth](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#Stealth_techniques "Tecniche stealth") * [Furto di dati e targeting](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#Data_theft_and_targeting "Furto di dati e targeting") * [Intrusioni nel cloud e abuso di MFA](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#Cloud_intrusions_and_MFA_abuse "Intrusioni nel cloud e abuso di MFA") * [Implicazioni e prospettive](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#Implications_and_outlook "Implicazioni e prospettive") Potremmo guadagnare dai fornitori tramite link di affiliazione o sponsorizzazioni. Ciò potrebbe influire sul posizionamento dei prodotti sul nostro sito, ma non sul contenuto delle nostre recensioni. Consulta i nostri [Termini di utilizzo](https://www.techrepublic.com/terms-conditions/) per i dettagli. L'indagine di CrowdStrike mostra che WARP PANDA si è inizialmente infiltrato nelle reti di alcune vittime già alla fine del 2023, espandendo successivamente le operazioni.  Un cyber avversario cinese recentemente identificato, monitorato da CrowdStrike come WARP PANDA, è emerso come uno dei gruppi di spionaggio tecnicamente più sofisticati che prendono di mira organizzazioni statunitensi nel 2025. Secondo gli analisti, il gruppo ha condotto molteplici intrusioni contro entità legali, tecnologiche e manifatturiere, concentrandosi su ambienti VMware vCenter e piattaforme cloud. Gli investigatori affermano che le operazioni rivelano un apparato di spionaggio ben fornito, allineato alle priorità di intelligence a lungo termine della Repubblica Popolare Cinese. [Le ultime scoperte di CrowdStrike](https://www.crowdstrike.com/en-us/blog/warp-panda-cloud-threats/) evidenziano una preoccupante escalation: gli avversari non si limitano più a violare le reti, ma si stanno integrando profondamente nelle infrastrutture di cloud ibrido e virtualizzazione per mantenere un accesso nascosto e persistente per anni. L'indagine di CrowdStrike mostra che WARP PANDA si è inizialmente infiltrato in alcune reti delle vittime già alla fine del 2023, espandendo successivamente le operazioni per tutto il 2025. Una volta all'interno, il gruppo ha dimostrato una conoscenza insolitamente approfondita degli ambienti VMware, prendendo di mira server vCenter e hypervisor ESXi. Il loro toolkit includeva web shell JSP, la famiglia di malware BRICKSTORM e due impianti basati su Golang precedentemente sconosciuti, denominati Junction e GuestConduit. Questo approccio riflette un cambiamento strategico nelle tecniche di spionaggio globale. Compromettendo i livelli di virtualizzazione, gli aggressori possono osservare o manipolare i dati di più sistemi guest contemporaneamente. Tale accesso consente loro di aggirare le tradizionali difese degli endpoint, rendendo il rilevamento molto più difficile. CrowdStrike osserva che la capacità di WARP PANDA di mantenere una persistenza a lungo termine indica sia un'elevata competenza sia una particolare attenzione all'estrazione di preziosi dati interni e rilevanti per la sicurezza nazionale. Per ottenere l'accesso iniziale, WARP PANDA ha sfruttato i dispositivi con connessione Internet e poi si è infiltrato nei sistemi vCenter utilizzando credenziali valide o vulnerabilità note. Il gruppo ha utilizzato regolarmente SSH, SFTP e l'account privilegiato vpxuser per spostarsi lateralmente tra le reti. Gli investigatori hanno anche osservato la cancellazione dei log, il file timesomping e la creazione di macchine virtuali dannose progettate per funzionare senza comparire nell'inventario vCenter. Tali tecniche evidenziano la sfida continua che i difensori devono affrontare: gli aggressori sfruttano sempre più gli stessi strumenti di gestione da cui dipendono gli amministratori. Integrando il traffico dannoso con le normali operazioni di virtualizzazione, WARP PANDA ha di fatto nascosto la sua posizione. Uno dei metodi più noti del gruppo prevedeva il tunneling del traffico attraverso installazioni BRICKSTORM su server vCenter, host ESXi e VM guest. Questa tattica consentiva operazioni segrete di comando e controllo e di spostamento dei dati in modi che imitavano da vicino le funzioni amministrative di routine. In diverse intrusioni, CrowdStrike ha osservato WARP PANDA durante lo staging dei dati per l'esfiltrazione. Il gruppo ha estratto informazioni da snapshot di VM con thin provisioning utilizzando una versione di 7-Zip compatibile con ESXi e macchine virtuali di domain controller clonate per accedere a dati sensibili di Active Directory. Gli investigatori hanno anche scoperto attività di ricognizione che coinvolgevano un'entità governativa dell'area Asia-Pacifico. Durante almeno un'intrusione, gli operatori hanno avuto accesso agli account di posta elettronica dei dipendenti che lavoravano su questioni in linea con gli interessi strategici della Repubblica Popolare Cinese. Gli analisti affermano che questo schema riflette una più ampia missione di raccolta di informazioni, suggerendo che il gruppo supporta obiettivi geopolitici piuttosto che perseguire guadagni finanziari. Le operazioni incentrate sul cloud di WARP PANDA lo distinguono ulteriormente da molti attori delle minacce. Entro l'estate del 2025, il gruppo si era infiltrato negli ambienti Microsoft Azure di diverse organizzazioni, accedendo a e-mail, OneDrive e SharePoint. In un caso, gli operatori hanno riprodotto token di sessione rubati tramite tunnel BRICKSTORM per raggiungere le risorse di Microsoft 365. Hanno anche avuto accesso a file relativi all'ingegneria di rete e alla risposta agli incidenti, sollevando il timore che le informazioni rubate potessero essere utilizzate come armi in futuri attacchi. In un altro caso, il gruppo ha registrato il proprio dispositivo MFA per mantenere un accesso cloud persistente. CrowdStrike sottolinea che tali azioni dimostrano una chiara comprensione dei sistemi di identità aziendale e delle debolezze che emergono quando i log di autenticazione non vengono monitorati attentamente. Attivo almeno dal 2022, WARP PANDA è l'unico avversario noto che utilizza il set di strumenti combinato BRICKSTORM, Junction e GuestConduit. Gli analisti valutano con moderata fiducia che il gruppo continuerà a operare a lungo termine, supportato da ampie risorse e da un mandato per raccogliere informazioni strategiche. La campagna evidenzia un cambiamento fondamentale nelle operazioni informatiche allineate allo stato: gli avversari stanno prendendo di mira i livelli di virtualizzazione e di identità cloud come punti di ingresso principali. Poiché le organizzazioni fanno sempre più affidamento su infrastrutture ibride, i difensori devono presumere che questi componenti siano obiettivi di spionaggio di alto valore. CrowdStrike consiglia alle organizzazioni di monitorare attentamente i log di ESXi e vCenter, limitare l'accesso in uscita dagli hypervisor, applicare una rotazione rigorosa delle credenziali e implementare strumenti EDR sulle VM guest per rilevare comportamenti di tunneling. I risultati servono a ricordare che gli attori statali continuano a evolversi rapidamente, sfruttando le tecnologie fondamentali alla base delle moderne reti aziendali. **Miliardi di utenti di Chrome riceveranno un aggiornamento di sicurezza cruciale prima della fine dell'anno. Google ha iniziato a distribuire Chrome 143, un aggiornamento di dicembre che corregge [13 vulnerabilità di sicurezza](https://www.techrepublic.com/article/news-chrome-143-update-13-security-fixes/).** Rafforza le difese di sicurezza IT della tua organizzazione rimanendo aggiornato sulle ultime novità, soluzioni e best practice in materia di sicurezza informatica. Consegnato ogni lunedì, martedì e giovedì – [x] Iscrivendoti alla nostra newsletter, accetti i nostri [Termini di utilizzo](https://technologyadvice.com/terms-conditions/) e la nostra [Informativa sulla privacy](https://technologyadvice.com/privacy-policy/). Puoi annullare l'iscrizione in qualsiasi momento. * [](https://www.facebook.com/sharer.php?u=https%3A%2F%2Fwww.techrepublic.com%2Farticle%2Fnews-china-nexus-espionage-actor%2F&t=CrowdStrike+Identifies+New+China-Nexus+Espionage+Actor) * [](https://www.linkedin.com/sharing/share-offsite/?url=https%3A%2F%2Fwww.techrepublic.com%2Farticle%2Fnews-china-nexus-espionage-actor%2F) * [](https://twitter.com/intent/tweet?text=CrowdStrike+Identifies+New+China-Nexus+Espionage+Actor+https%3A%2F%2Fwww.techrepublic.com%2F%3Fp%3D4339065+via+%40techrepublic) [](https://www.techrepublic.com/meet-the-team/us/techrepublic-staff/) [Visualizza tutti i contenuti di TechRepublic](https://www.techrepublic.com/meet-the-team/us/techrepublic-staff/) Utilizziamo cookie e altre tecnologie di raccolta dati per offrire la migliore esperienza ai nostri clienti. Puoi richiedere che i tuoi dati non vengano condivisi con terze parti qui: [Non vendere i miei dati](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#). * [Aiuto e feedback sul sito](https://support.techrepublic.com/) * [Pubblicizza](https://solutions.technologyadvice.com/advertise-on-techrepublic/?utm_source=techrepublic&utm_medium=portfolio_footer&utm_campaign=advertise_contact-us) * [Non vendere le mie informazioni](https://technologyadvice.com/privacy-policy/ccpa-opt-out-form/) * [Download](https://www.techrepublic.com/resource-library/content-type/downloads/) * [Forum TechRepublic](https://www.techrepublic.com/forums/) * [Incontra il team](https://solutions.technologyadvice.com/meet-the-editorial-team/) * [TechRepublic Academy](https://academy.techrepublic.com/) * [TechRepublic Premium](https://www.techrepublic.com/premium/about/) * [Libreria di risorse](https://www.techrepublic.com/resource-library/) * [Informativa editoriale](https://www.techrepublic.com/article/editorial-policy/) * [Termini legali](https://www.techrepublic.com/terms-conditions/) * [Informativa sulla privacy](https://www.techrepublic.com/privacy-policy-2/) Ricevi le migliori notizie, tutorial, recensioni, tendenze e analisi sulla tecnologia aziendale del web, direttamente nella tua casella di posta. Iniziamo dalle basi. Sei già registrato? [Accedi](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#) Paese – [x] Registrandoti, accetti i [Termini di utilizzo](https://www.techrepublic.com/terms-conditions/) e riconosci le pratiche sui dati descritte nell'[Informativa sulla privacy](https://www.techrepublic.com/privacy-policy-2/) [Usa Facebook](https://www.techrepublic.com/nextendweb-social-login/?loginSocial=facebook&redirect=https%3A%2F%2Fwww.techrepublic.com%2Farticle%2Fnews-china-nexus-espionage-actor%2F)[Usa Linkedin](https://www.techrepublic.com/nextendweb-social-login/?loginSocial=linkedin&redirect=https%3A%2F%2Fwww.techrepublic.com%2Farticle%2Fnews-china-nexus-espionage-actor%2F) Non sei un membro? [Crea un account](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#) [Usa Facebook](https://www.techrepublic.com/nextendweb-social-login/?loginSocial=facebook&redirect=https%3A%2F%2Fwww.techrepublic.com%2Farticle%2Fnews-china-nexus-espionage-actor%2F)[Usa Linkedin](https://www.techrepublic.com/nextendweb-social-login/?loginSocial=linkedin&redirect=https%3A%2F%2Fwww.techrepublic.com%2Farticle%2Fnews-china-nexus-espionage-actor%2F) Hai perso la password? [Richiedi una nuova password](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#) Inserisci il tuo indirizzo email. Riceverai un'email con le istruzioni per reimpostare la password. Controlla la tua email per un link per reimpostare la password. Se non hai ricevuto l'email, non dimenticare di controllare la cartella spam, altrimenti [contatta l'assistenza](https://support.techrepublic.com/). [Torna al login](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#) [No grazie, continua senza](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#) [Attiva tutto](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#) [No grazie, continua senza](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#) Grazie per esserti iscritto! Non perderti l'email di conferma dal nostro team. Per assicurarti che tutte le newsletter a cui ti sei iscritto arrivino nella tua casella di posta, assicurati di aggiungere [newsletters@nl.technologyadvice.com](mailto:newsletters@nl.technologyadvice.com) alla tua lista dei contatti. [Torna alla home page](https://www.techrepublic.com/article/news-china-nexus-espionage-actor/#) Rafforza le difese di sicurezza IT della tua organizzazione rimanendo aggiornato sulle ultime novità, soluzioni e best practice in materia di sicurezza informatica. Pubblicato ogni lunedì, martedì e giovedì – [x] Iscrivendoti alla nostra newsletter, accetti i nostri [Termini di utilizzo](https://technologyadvice.com/terms-conditions/) e la nostra [Informativa sulla privacy](https://technologyadvice.com/privacy-policy/). Puoi annullare l'iscrizione in qualsiasi momento.  

Seguici anche su:

• 📸 Instagram
• 💼 LinkedIn
• 📘 Facebook
• 📖 eBook Italiano
• 🌎 eBook English version
• 🎥 YouTube