SOC Prime Bias: Critico

16 Dec 2025 16:22 UTC

Spionaggio informatico APT15: Analisi delle campagne e dei TTP

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Spionaggio informatico APT15: Analisi delle campagne e dei TTP
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

APT15 è un gruppo di cyber spionaggio sponsorizzato dallo stato cinese, attivo dal 2010, che prende di mira principalmente agenzie governative, missioni diplomatiche e organizzazioni militari. Gli attori si affidano al spear-phishing, allo sfruttamento di applicazioni esposte al pubblico e backdoor personalizzate per ottenere l’accesso iniziale e mantenere una presenza a lungo termine. Il loro toolkit include steganografia, camuffamento, manipolazione del registro e canali C2 criptati incorporati negli header HTTP o nel traffico DNS. La campagna continua a evolversi con nuovi strumenti come Graphican e la rete di relay ORB3.

Indagine

L’indagine ha mappato diverse famiglie di malware (BS2005, TidePool, MirageFox, Graphican, ecc.) e un set completo di tecniche ATT&CK che coprono accesso iniziale, esecuzione, persistenza, escalation dei privilegi, evasione della difesa, accesso alle credenziali, scoperta, raccolta, esfiltrazione e comando e controllo. Gli analisti hanno estratto indicatori concreti tra cui domini, percorsi dei file, chiavi di registro e linee di comando dai dati del caso. L’infrastruttura del gruppo sfrutta domini come goback.stranged.net and finance.globaleducat.com per le operazioni C2.

Mitigazione

Le misure di difesa raccomandate includono scansioni rigorose degli allegati e-mail, patch tempestive di Microsoft Exchange, SharePoint e apparecchiature VPN, e monitoraggio delle modifiche sospette del registro, attività pianificate anomale, e l’esecuzione di payload basata su rundll32 o COM. Il monitoraggio delle reti dovrebbe concentrarsi su attività anomale dei cookie HTTP e query DNS TXT allineate a modelli di C2 noti. La whitelisting delle applicazioni e l’analisi comportamentale possono aiutare a bloccare l’uso di archiviatori rinominati e payload PNG basati su steganografia.

Risposta

Quando viene rilevata un’attività di APT15, isolare l’host interessato, catturare dati volatili e tutti gli IOC correlati, e bloccare i domini e gli indirizzi IP C2 identificati. Eseguire un’analisi forense completa per individuare scorciatoie persistenti, attività pianificate e modifiche del registro, quindi eradicare i componenti dannosi e reimpostare le credenziali compromesse. Informare gli utenti colpiti e aggiornare le regole di rilevamento per coprire le linee di comando osservate, i percorsi dei file e gli indicatori d’infrastruttura.

Flow dell’attacco

Esecuzione della simulazione

Prerequisito: Il controllo preliminare di telemetria e baseline deve essere superato.

Narrativa e comandi dell’attacco:

  1. Preparazione: L’avversario ha già compromesso un account utente ed è approdato sull’endpoint.
  2. Preparazione dati (T1059.003): Utilizzando esattamente xcopy la sintassi osservata in attività storiche di APT15, l’attaccante copia i file del desktop della vittima in una cartella temporanea WMI nascosta, preservando i timestamp (/D:09-29-2021) per mimetizzarsi con l’attività legittima del sistema.
  3. Esecuzione del payload (T1218.002): L’attaccante poi invoca rundll32.exe con un percorso a nome breve (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll) per eseguire uno script JavaScript dannoso che stabilisce la persistenza.
  4. Risultato: Entrambi i comandi generano distinti eventi di creazione di processi che corrispondono alla regola Sigma selezione1 and selezione2 rispettivamente, attivando un allarme.

Script per test di regressione:

# -------------------------------------------------
# Script di simulazione APT15 – attiva la regola Sigma
# -------------------------------------------------

# 1. Creare directory di staging e file fittizi
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "sensitive data" -Encoding UTF8

# 2. Eseguire il comando xcopy esatto usato da APT15
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd

# 3. Distribuire la DLL dannosa (simulata copiando una DLL legittima)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force

# 4. Eseguire rundll32 con il pattern di argomenti esatto di APT15
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd

# -------------------------------------------------
# Fine della simulazione
# -------------------------------------------------

Comandi di pulizia:

# Rimuovere file e directory di staging
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue

# Rimuovere la cartella IEHelper falsa e la DLL
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue

# Opzionale: fermare Sysmon (se necessario solo per il test)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u