ESET ha svolto un’analisi sugli strumenti utilizzati dal gruppo APT TheWizards, affiliato alla Cina, per condurre attacchi adversary-in-the-middle in Asia e Medio Oriente. L’analisi ha riguardato Spellbinder, strumento utilizzato per il movimento laterale e per eseguire attacchi adversary-in-the-middle dal gruppo APT TheWizards. Spellbinder consente questi attacchi sfruttando lo spoofing dell’autoconfigurazione degli indirizzi IPv6 (stateless address autoconfiguration o SLAAC). Permettendo così agli attaccanti di reindirizzare i protocolli di aggiornamento di software cinesi legittimi verso server malevoli. Il software legittimo viene così ingannato e indotto a scaricare ed eseguire componenti dannosi che avviano la backdoor WizardNet.
Quali gli obiettivi del gruppo APT TheWizards
TheWizards è attivo in modo costante almeno dal 2022 fino a oggi. Secondo la telemetria di ESET, prende di mira individui, società di gioco d’azzardo ed entità non identificate in Cambogia, Filippine, Emirati Arabi Uniti, Cina continentale e Hong Kong.
Facundo Muñoz, ricercatore di ESET che ha analizzato Spellbinder e WizardNet Abbiamo scoperto e analizzato questo strumento nel 2022 e osservato una nuova versione, con alcune modifiche, distribuita su macchine compromesse nel 2023 e nel 2024. La nostra ricerca ci ha portato a scoprire uno strumento progettato per eseguire attacchi adversary-in-the-middle tramite spoofing SLAAC IPv6. Intercettando in questo modo le comunicazioni di rete e inviando risposte contraffatte per reindirizzare il traffico verso server malevoli e fornire aggiornamenti dannosi a software cinesi legittimi.
I collegamenti con l’azienda cinese Dianke Network Security Technology
Il payload finale dell’attacco è una backdoor che ESET ha denominato WizardNet. Si tratta di un impianto modulare che si collega a un controller remoto per ricevere ed eseguire moduli .NET sulla macchina compromessa. I ricercatori si sono concentrati su uno dei casi più recenti, avvenuto nel 2024, in cui l’aggiornamento del software Tencent QQ è stato dirottato. Il server malevolo che invia le istruzioni di aggiornamento risulta ancora attivo.
Le varianti di APT TheWizards
Questa variante di WizardNet supporta 5 comandi, 3 dei quali consentono l’esecuzione in memoria di moduli .NET, estendendo così le funzionalità sulla macchina infetta. Emergono anche collegamenti tra TheWizards e l’azienda cinese Dianke Network Security Technology (nota anche come UPSEC), collegata alla backdoor DarkNights (o DarkNimbus). Secondo il NCSC del Regno Unito, questa backdoor ha tra i suoi principali obiettivi anche le comunità tibetane e uigure. Sebbene TheWizards utilizzi una backdoor diversa, WizardNet, il server di hijacking risulta configurato per distribuire DarkNights ad applicazioni in fase di aggiornamento su dispositivi Android.
