Il gruppo di minacce avanzate TIDRONE, associato ad attori parlanti cinese, ha recentemente preso di mira l’industria militare e satellitare a Taiwan. Le attività malevole osservate includono l’uso di malware avanzato come CXCLNT e CLNTEND, spesso distribuiti tramite software ERP o desktop remoti. Le operazioni di TIDRONE indicano un probabile scopo di spionaggio, dato l’interesse verso settori altamente sensibili come la produzione di droni e satelliti.
Tecniche di attacco
Il malware CXCLNT, identificato durante queste campagne, possiede funzionalità di backdoor avanzate, come l’invio di informazioni rubate a server di comando e controllo (C&C) e la capacità di eseguire comandi remoti tramite protocolli come TCP, HTTP, HTTPS, TLS, e SMB. Il payload include una DLL chiamata ClientEndPoint.dll, che funge da strumento di shell remoto. TIDRONE impiega nomi di dominio falsificati, come symantecsecuritycloud[.]com, per mascherare le sue attività di rete e confondere le indagini.
Le operazioni di TIDRONE mirano principalmente all’acquisizione di dati sensibili dalle industrie coinvolte nello sviluppo militare e satellitare a Taiwan. Gli attacchi utilizzano malware avanzati e tattiche di social engineering per penetrare nelle reti target.
Secondo TrendMicro, le organizzazioni devono adottare misure di sicurezza, come l’utilizzo di software antimalware e l’aggiornamento regolare dei sistemi, per prevenire potenziali compromissioni.
