Unit 42 di Palo Alto Networks ha identificato il nuovo RAT denominato PingPull, utilizzato dal gruppo APT GALLIUM per colpire anche istituzioni finanziarie ed enti governativi. Il RAT è un trojan di accesso remoto, difficile da rilevare. GALLIUM, o Operation Soft Cell, ha colpito società di telecomunicazioni nel sud-est asiatico, in Europa e in Africa. Target geografico, focus settoriale, competenze tecniche, con l’uso di malware e tattiche note agli attori delle minacce cinesi, fanno ritenere che GALLIUM sia un gruppo sponsorizzato dallo Stato cinese.
Palo Alto individua PingPull
Nell’ultimo anno, il gruppo ha allargato il proprio obiettivo, aggiungendo anche istituzioni finanziarie ed enti governativi. In questo periodo, abbiamo identificato diverse connessioni tra l’infrastruttura di GALLIUM ed entità mirate in Afghanistan, Australia, Belgio, Cambogia, Malesia, Mozambico, Filippine, Russia e Vietnam. Soprattutto identificato l’utilizzo da parte del gruppo di un nuovo trojan per l’accesso remoto denominato PingPull a supporto delle sue attività di spionaggio.
Come opera il RAT PingPull
PingPull è in grado di sfruttare tre protocolli (ICMP, HTTP(S) e raw TCP) per il comando e il controllo (C2). Sebbene l’uso del tunneling ICMP non sia una tecnica nuova, PingPull utilizza ICMP per rendere più difficile l’individuazione delle proprie comunicazioni C2. Questo perché poche organizzazioni implementano l’ispezione del traffico ICMP sulle loro reti.