Warp Panda, società cinese, prende di mira le aziende nor...

Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.

Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.

Scritto da

Beth Maundrill

CrowdStrike ha individuato una sofisticata campagna di cyber-spionaggio condotta da Warp Panda, che prende di mira aziende legali, tecnologiche e manifatturiere nordamericane per supportare le priorità del governo cinese.

Secondo le informazioni condivise da CrowdStrike, l'autore della minaccia, finora sconosciuto, dimostra un elevato livello di sofisticatezza tecnica, competenze avanzate in materia di sicurezza delle operazioni (OPSEC) e una conoscenza approfondita degli ambienti cloud e delle macchine virtuali (VM).

L'azienda di sicurezza informatica ha affermato che durante l'estate del 2025 ha identificato diversi casi in cui l'avversario ha preso di mira gli ambienti VMware vCenter.

Secondo le scoperte di CrowdStrike, Warp Panda ha probabilmente utilizzato l'accesso a una delle reti compromesse per effettuare una ricognizione rudimentale contro un'entità governativa dell'area Asia-Pacifico.

Banner Pubblicitario

Gli hacker sono stati inoltre collegati a vari blog sulla sicurezza informatica e a un repository GitHub in lingua mandarino.

Durante almeno un'intrusione, l'avversario ha avuto accesso specifico agli account di posta elettronica dei dipendenti che lavorano su argomenti in linea con gli interessi del governo cinese.

L'avversario prende di mira principalmente entità nel Nord America e mantiene costantemente un accesso persistente e segreto alle reti compromesse, probabilmente per supportare gli sforzi di raccolta di informazioni in linea con gli interessi strategici della Repubblica Popolare Cinese (RPC).

Attività dannose persistenti e a lungo termine

L'attività è stata descritta come persistente e a lungo termine, con un'intrusione nel 2023 che ha rappresentato il punto di accesso iniziale di Warp Panda. CrowdStrike ha commentato che l'autore della minaccia è attivo almeno dal 2022.

L'azienda ha valutato con moderata sicurezza che l'autore della minaccia probabilmente manterrà le sue operazioni di raccolta di informazioni nel breve e lungo termine.

Questa attenzione alle operazioni di accesso a lungo termine suggerisce che sono associate a un'organizzazione ben dotata di risorse che ha investito molto in capacità di spionaggio informatico.

L'avversario è stato identificato mentre distribuiva il malware BRICKSTORM sui server VMware VCenter, una backdoor scritta in Golang che spesso si maschera da processi vCenter legittimi, come updatemgr o vami-http.

Warp Panda ha inoltre distribuito due impianti basati su Golang precedentemente non osservati, Junction e GuestConduit, rispettivamente su host ESXi e VM guest.

Il 4 dicembre, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato un avviso congiunto che confermava che un cybercriminale sponsorizzato dallo Stato cinese stava utilizzando il malware BRICKSTORM per la persistenza a lungo termine sui sistemi delle vittime. L'avviso segnalava anche che le piattaforme VMware vSphere erano state prese di mira.

L'analisi della CISA ha affermato che gli autori delle minacce informatiche hanno utilizzato BRICKSTORM per un accesso persistente almeno da aprile 2024 fino ad almeno il 3 settembre 2025.

Banner Pubblicitario

Warp Panda ottiene spesso l'accesso iniziale sfruttando i dispositivi edge connessi a Internet e successivamente si sposta verso gli ambienti vCenter, utilizzando credenziali valide o sfruttando le vulnerabilità di vCenter, ha osservato CrowdStrike. Per muoversi lateralmente all'interno delle reti compromesse, l'avversario utilizza SSH e l'account di gestione vCenter privilegiato vpxuser.

In alcuni casi, CrowdStrike li ha identificati utilizzando il Secure File Transfer Protocol (SFTP) per spostare i dati tra gli host.

Le TTP includono anche la cancellazione dei log e il file timesomping, nonché la creazione di VM dannose (non registrate nel server vCenter) e la loro chiusura dopo l'uso.

Per mimetizzarsi nel traffico di rete legittimo, l'avversario ha utilizzato BRICKSTORM per incanalare il traffico attraverso server vCenter, host ESXi e VM guest.

Gli impianti BRICKSTORM si mascherano da processi vCenter legittimi e dispongono di meccanismi di persistenza che consentono loro di sopravvivere dopo l'eliminazione dei file e il riavvio del sistema.

Inoltre, Warp Panda ha sfruttato molteplici vulnerabilità nei dispositivi edge e negli ambienti VMware vCenter durante le loro operazioni

Potrebbe anche piacerti

Il picco del terzo trimestre registra 20 milioni di nuovi ceppi di malware

Motori di ricerca falsi utilizzati per reindirizzare gli utenti verso siti web infetti da malware

RedJuliett, con sede in Cina, prende di mira Taiwan in una campagna di spionaggio informatico

Tre quinti degli attacchi informatici nel 2021 erano privi di malware

Preoccupazione per il dimezzamento del tempo di "sfondamento" degli aggressori nel 2020

Cosa c'è di nuovo su Infosecurity Magazine?

Assunti per hackerare: proteggere la tua azienda dalle truffe del reclutamento a distanza

La polizia sudcoreana fa irruzione a Coupang per violazione dei dati mentre il CEO si dimette

Malware scoperto in 19 estensioni di Visual Studio Code

Google corregge la falla di Zero Click Gemini Enterprise che ha esposto i dati aziendali

Gartner chiede una pausa nell'uso dei browser AI

L'Ursala dell'intelligenza artificiale vuole la tua voce

Gartner chiede una pausa nell'uso dei browser AI