Il mondo della cybersecurity è nuovamente in allerta: FamousSparrow, gruppo APT (Advanced Persistent Threat) allineato alla Cina, ha ripreso le proprie attività di cyberspionaggio, colpendo organizzazioni negli Stati Uniti, in Messico e in Honduras. Dopo un’apparente inattività di due anni, i ricercatori di ESET hanno scoperto nuove varianti della backdoor SparrowDoor e l’impiego, per la prima volta, del malware ShadowPad.

Un ritorno inatteso e più pericoloso

L’indagine di ESET è partita dall’analisi di un’anomala attività nella rete di un’associazione di categoria statunitense operante nel settore finanziario. Durante il supporto alla vittima per la gestione dell’incidente, gli esperti hanno identificato strumenti malevoli riconducibili a FamousSparrow, dimostrando che il gruppo non solo è ancora attivo, ma ha anche affinato le proprie tecniche. Le due nuove versioni della backdoor SparrowDoor mostrano significativi miglioramenti rispetto alle precedenti, con una migliore architettura e una maggiore efficienza operativa, tra cui la parallelizzazione dei comandi.

Tra il 2022 e il 2024, FamousSparrow ha attaccato anche un’istituzione governativa in Honduras e un istituto di ricerca in Messico. Gli attacchi sono stati condotti sfruttando vulnerabilità note in sistemi obsoleti di Windows Server e Microsoft Exchange.

Tecniche avanzate e malware sofisticati

FamousSparrow ha utilizzato una combinazione di strumenti personalizzati, malware già impiegati da altri gruppi APT e tool di pubblico dominio. Tra i payload finali, oltre alle nuove versioni di SparrowDoor, è stato rilevato per la prima volta l’uso di ShadowPad, un trojan modulare noto per essere stato impiegato da altre minacce legate alla Cina.

Tra le funzionalità osservate:

  • Esecuzione remota di comandi
  • Manipolazione del file system
  • Keylogging
  • Trasferimento di file
  • Gestione avanzata dei processi
  • Monitoraggio delle modifiche ai file
  • Acquisizione di screenshot

L’accesso iniziale alle reti delle vittime è stato ottenuto tramite una webshell installata su un server IIS compromesso, sebbene non sia stato possibile determinare l’exploit esatto impiegato per la compromissione.

Un legame con Salt Typhoon?

Nel settembre 2024, il Wall Street Journal ha riferito che alcuni provider di servizi internet statunitensi erano stati compromessi da un gruppo identificato come Salt Typhoon, che Microsoft ritiene essere la stessa entità nota come FamousSparrow o GhostEmperor. Tuttavia, secondo ESET, si tratta di gruppi distinti, con differenze tecniche e operative significative.

FamousSparrow: un nome che continua a far paura

Attivo almeno dal 2019, FamousSparrow è stato documentato per la prima volta da ESET nel 2021, quando venne associato alla vulnerabilità ProxyLogon. Se inizialmente il gruppo si concentrava su attacchi contro catene alberghiere, negli anni ha ampliato il suo raggio d’azione colpendo governi, organizzazioni internazionali, aziende di ingegneria e studi legali.

Questa nuova ondata di attacchi dimostra come le minacce informatiche evolvano costantemente, con attori sempre più sofisticati in grado di migliorare le proprie tecniche e adattarsi alle contromisure di sicurezza. La scoperta di ESET ribadisce l’importanza di adottare misure di cybersecurity avanzate per proteggere infrastrutture critiche e dati sensibili a livello globale.