SOC Prime Bias: Critico

01 Jul 2026 09:05 UTC

Panda Acquatica (Earth Lusca): Campagne, Malware e TTP

Author Photo
SOC Prime Team linkedin icon Segui
Panda Acquatica (Earth Lusca): Campagne, Malware e TTP
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Aquatic Panda è un gruppo APT allineato alla Cina focalizzato sulla raccolta di intelligence e sullo spionaggio industriale. Il gruppo utilizza un arsenale di malware diversificato, tra cui SprySOCKS, ShadowPad e BIOPASS RAT, per colpire industrie critiche. Le sue operazioni implicano anche lo sfruttamento di vulnerabilità come Log4Shell e l’uso di rootkit avanzati per mantenere la furtività.

Indagine

Il rapporto delinea molteplici campagne, inclusa l’Operazione FishMedley e attacchi che coinvolgono server VMware Horizon. Esamina il design tecnico del backdoor SprySOCKS, compresa la sua funzionalità di rootkit in modalità kernel e le caratteristiche di persistenza. L’analisi suddivide anche i TTP specifici del gruppo per l’accesso iniziale, l’esecuzione e l’evasione delle difese.

Mitigazione

Le organizzazioni dovrebbero convalidare le loro difese contro i metodi noti di Aquatic Panda utilizzando piattaforme di simulazione e test. Le mitigazioni chiave includono la correzione delle vulnerabilità di Log4j come CVE-2021-44228 e il monitoraggio di attività programmate non autorizzate o cambiamenti sospetti nei servizi di Windows. Un forte rilevamento degli endpoint è anche essenziale per identificare il caricamento laterale di DLL e l’attività di iniezione dei processi.

Risposta

Se viene rilevata un’attività di Aquatic Panda, i rispondenti dovrebbero isolare immediatamente i sistemi interessati per interrompere il movimento laterale. Le indagini dovrebbero concentrarsi sui cambiamenti di registro non autorizzati, specialmente all’interno delle impostazioni dei processori di stampa o IFEO. L’analisi forense dovrebbe dare priorità alla raccolta della memoria da processi sospetti e all’audit delle attività programmate e dei servizi di Windows.

"diagramma di flusso TD step_resource_development["Sviluppo delle Risorse: Registrazione di domini omoglifi e messa in scena di strumenti JNDI/Log4Shell"] step_initial_access["Accesso Iniziale: Sfruttamento di Log4j (CVE-2021-44228) in VMware Horizon"] step_execution["Esecuzione: Scarichi cradle di PowerShell, cmd/C con curl/wget, Attività Programmate e Servizi di Windows"] step_persistence["Persistenza: Creazione di Servizi di Windows, Attività Programmate e Registrazione di DLL del Processo di Stampa"] step_privilege_escalation["Escalation dei Privilegi: Iniezione IFEO e Manipolazione di Token di Accesso tramite CreateProcessAsUserW"] step_defense_impairment["Compromissione della Difesa: Modifica del Firewall Host di Windows con impersonificazione ICMPv6"] step_credential_access["Accesso alle Credenziali: Dumping di memoria LSASS, furto delle hives SAM/SYSTEM, furto di credenziali del browser e DLL di Filtro Password"] step_discovery["Scoperta: Enumerazione di servizi, processi, informazioni di sistema e prodotti di sicurezza software"] step_collection["Raccolta: Keylogging e archiviazione dati con WinRAR"] step_command_and_control["Comando e Controllo: TCP/UDP/WebSockets con AES-128 e Segnalazione del Traffico basata su WFP"] step_stealth["Furtività: Rootkit in modalità kernel (RawWNPF), Iniezione di Processo, Caricamento Laterale di DLL e Evasione Sandbox"] rules_for_step_stealth("<b>Nome della Regola</b>: Percorso di Processo Sospetto (via cmdline)<br/><b>ID della Regola</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Esfiltrazione: Trasferimento dati tramite C2 o Dropbox (dbxcli)"] step_resource_development –>|porta_a| step_initial_access step_initial_access –>|porta_a| step_execution step_execution –>|porta_a| step_persistence step_persistence –>|porta_a| step_privilege_escalation step_privilege_escalation –>|porta_a| step_defense_impairment step_defense_impairment –>|porta_a| step_credential_access step_credential_access –>|porta_a| step_discovery step_discovery –>|porta_a| step_collection step_collection –>|porta_a| step_command_and_control step_command_and_control –>|porta_a| step_stealth step_stealth –>|porta_a| step_exfiltration step_stealth -.->|rilevato_da| rules_for_step_stealth "

Flusso dell’Attacco

Rilevamenti

Possibile Compressione Dati per Infiltrazione o Esfiltrazione (via cmdline)

Team SOC Prime
30 Giugno 2026

Possibile Enumerazione Servizi (via cmdline)

Team SOC Prime
30 Giugno 2026

Possibile Dumping SAM/SYSTEM/SECURITY (via cmdline)

Team SOC Prime
30 Giugno 2026

Possibile Dumping Credenziali Utilizzando Comsvcs.dll (via cmdline)

Team SOC Prime
30 Giugno 2026

Possibile dumping credenziali utilizzando comsvcs.dll (via powershell)

Team SOC Prime
30 Giugno 2026

Modifiche al Firewall Sospette via CLI (via cmdline)

Team SOC Prime
30 Giugno 2026

Catena di Processi di Sistema Anomala (via process_creation)

Team SOC Prime
30 Giugno 2026

Possibili Funzionalità di Accessibilità tramite Abuso del Registro di Sistema (via cmdline)

Team SOC Prime
30 Giugno 2026

Possibili Punti di Persistenza [ASEPs – Hive Software/NTUSER] (via registry_event)

Team SOC Prime
30 Giugno 2026

Creazione di Servizio Sospetto per Persistenza (via sistema)

Team SOC Prime
30 Giugno 2026

Operazioni Immagine Servizio da Processo Raro (via registry_event)

Team SOC Prime
30 Giugno 2026

Posizione di Esecuzione di Eseguibile/Script Sospetta via [cmd.exe /C] (via cmdline)

Team SOC Prime
30 Giugno 2026

Richiama Classi/Metodi .NET Sospetti da Powershell CommandLine (via process_creation)

Team SOC Prime
30 Giugno 2026

Schtasks Punta a Directory / Binario / Script Sospetto (via cmdline)

Team SOC Prime
30 Giugno 2026

Percorso di Processo Sospetto (via cmdline)

Team SOC Prime
30 Giugno 2026

Allocazione di Memoria per Process Hollowing [Windows Sysmon]

Regole SOC Prime AI
30 Giugno 2026

Modifiche del Registro per Hijacking del Debugger e Persistenza del Processore di Stampa [Evento Registro di Windows]

Regole SOC Prime AI
30 Giugno 2026

Creazione di Attività Programmata e Download Maligno di PowerShell [Creazione Processo di Windows]

Regole SOC Prime AI
30 Giugno 2026

## Esecuzione della Simulazione

Prerequisito: Il Controllo Prevolo di Telemetria & Baseline deve essere passato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria aspettata dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrativa dell’Attacco & Comandi: Un avversario intende eseguire il process hollowing per nascondere il codice maligno all’interno di un contenitore di processo legittimo. Per testare se l’attuale (anche se difettoso) rilevamento si attiva, l’avversario lancerà powershell.exe da una directory specifica. Questo simula la fase iniziale di un attacco Living-off-the-Land (LotL) dove l’avversario utilizza uno strumento di sistema standard per iniziare le sue attività malevole, come l’iniezione di memoria o la raccolta di credenziali. L’obiettivo è generare un evento di Creazione Processo dove il campo Immagine contiene una barra rovesciata, come definito nella logica di rilevamento.

  • Script di Test di Regressione:

     # Simulazione dell'avvio di un processo che soddisfa la logica di rilevamento (debole)
    # Questo imita l'inizio di una sessione dell'avversario utilizzando uno strumento standard
    $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
    Write-Host "Esecuzione: $targetProcess"
    Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Simulazione Attiva'"
  • Comandi di Pulizia:

     # Nessun cambiamento persistente effettuato; nessuna pulizia richiesta per questa simulazione.
    Write-Host "Pulizia della simulazione completata."