F-Secure, il malware NanHaiShu e la disputa sul mare cinese

F-Secure, il malware NanHaiShu e la disputa sul mare cinese meridionale

I Laboratori F-Secure hanno individuato un ‘ceppo’ di malware che interessa le parti coinvolte nella sentenza “Filippine Vs Cina” riguardante la disputa sul mare cinese meridionale.
Il malware, soprannominato NanHaiShu dai ricercatori F-Secure, è un trojan di accesso remoto (RAT, Remote Access Trojan) che consente agli attaccanti di sottrarre dati dalle macchine infettate. Il malware e il suo utilizzo, che ricollega alla sentenza del 12 luglio, sono trattati nel dettaglio nel nuovo report di F-Secure, “NanHaiShu: RATing the South China Sea”.

Erka Koivunen, Cyber Security Advisor in F-Secure
Questo malware APT (advanced persistent threat) sembra essere strettamente legato alla disputa e ai procedimenti legali tra le Filippine e la Cina relativamente al mare cinese meridionale. Non solo le organizzazioni ‘bersaglio’ sono tutte collegate al caso in qualche modo, ma la sua apparizione coincide cronologicamente con la pubblicazione di notizie o eventi collegati ai procedimenti di arbitrato.

Le organizzazioni prese di mira identificate nel report includono il Dipartimento di Giustizia delle Filippine, che è stato coinvolto nel caso presentato dalle Filippine contro la Cina, gli organizzatori dell’Asia-Pacific Economic Cooperation (APEC) Summit, che si è tenuto nelle Filippine nel novembre 2015, e un importante studio legale internazionale.

NanHaiShu è diffuso attraverso email di spear phishing create con particolare cura che contengono termini specifici del settore rilevanti per ciascuna delle organizzazioni prese di mira, il che indica che le email sono state deliberatamente progettate con gli esatti bersagli in mente. Il file allegato all’email contiene una macro malevola che esegue un file Jscript embedded. Una volta installato su una macchina, NanHaiShu invia informazioni dalla macchina infettata verso un server remoto, ed è in grado di scaricare ogni file che l’attaccante desidera ottenere.
L’analisi tecnica ha evidenziato l’orientamento notevole del malware verso codici e infrastrutture associate con sviluppatori in Cina. A causa di ciò, e del fatto che la selezione delle organizzazioni prese di mira per l’infiltrazione sono direttamente rilevanti per gli argomenti considerati di interesse nazionale strategico per il governo cinese, i ricercatori F-Secure sospettano che il malware sia di origine cinese.

Erka Koivunen
Se i sospetti dei nostri ricercatori nei fatti sono corretti, potrebbe essere che i cinesi stavano usando lo spionaggio informatico per ottenere una migliore visibilità nei procedimenti legali.