Il gruppo ha colpito obiettivi negli Stati Uniti, in Messico e in Honduras. Sono state rilevate due nuove varianti della backdoor SparrowDoor, migliorate in architettura e funzionalità. Per la prima volta è stato impiegato anche il malware ShadowPad
Researchers of ESET, leader europeo globale nel mercato della cybersecurity, hanno condotto un’indagine su alcune attività sospette nella rete di una associazione di categoria statunitense operante nel settore finanziario. Durante le operazioni di supporto alla vittima per la gestione dell’incidente, i ricercatori hanno scoperto la presenza di strumenti malevoli riconducibili a FamousSparrow, un gruppo APT allineato alla Cina. Fino a quel momento, si pensava che il gruppo fosse inattivo, poiché non vi erano stati report pubblici dal 2022. L’indagine di ESET dimostra invece che non solo il gruppo era ancora attivo, ma che nel frattempo aveva anche aggiornato le proprie tecniche, come dimostrato dalle due versioni inedite della backdoor SparrowDoor rilevate all’interno della rete compromessa.
L’attività del gruppo tra il 2022 e il 2024 ha incluso anche il targeting di un’istituzione governativa in Honduras. Inoltre, è emerso che, poco prima dell’attacco negli USA, il gruppo era riuscito a violare un istituto di ricerca in Messico: entrambe le compromissioni risalgono alla fine di giugno 2024. Le nuove versioni di SparrowDoor mostrano un notevole miglioramento rispetto alle precedenti, sia per qualità del codice che per architettura, e una di esse include la parallelizzazione dei comandi.
“Pur presentando importanti aggiornamenti, le nuove varianti mantengono elementi riconducibili alle versioni precedenti già note pubblicamente. Anche i loader utilizzati in questi attacchi presentano ampie sovrapposizioni di codice con campioni attribuiti in passato a FamousSparrow”, spiega Alexandre Côté Cyr, ricercatore di ESET autore della scoperta.
Per ottenere l’accesso iniziale alle reti delle vittime, il gruppo ha sfruttato una webshell installata su un server IIS. ESET non è riuscita a determinare l’exploit specifico utilizzato per il deployment delle webshell, ma entrambi i sistemi compromessi eseguivano versioni obsolete di Windows Server e Microsoft Exchange, vulnerabili a exploit pubblicamente disponibili.
Nel corso della campagna, sono stati impiegati strumenti personalizzati e malware già utilizzati da altri gruppi APT allineati alla Cina, oltre a tool di pubblico dominio. I payload finali erano le backdoor SparrowDoor e ShadowPad. Tra le funzionalità osservate figurano esecuzione di comandi, operazioni sul file system, keylogging, trasferimento di file, gestione dei processi, monitoraggio delle modifiche ai file e acquisizione di screenshot.
Nel settembre 2024, il Wall Street Journal ha pubblicato un articolo secondo cui alcuni provider di servizi internet statunitensi erano stati compromessi da un attore malevolo denominato Salt Typhoon. Secondo Microsoft, si tratterebbe dello stesso gruppo noto come FamousSparrow o GhostEmperor.
“È stato il primo report pubblico a sovrapporre queste due entità. Tuttavia, sulla base dei nostri dati e dell’analisi dei report disponibili, riteniamo che FamousSparrow e GhostEmperor siano gruppi distinti. Le similitudini sono poche, mentre le differenze sono molte”, osserva ancora Côté Cyr.
FamousSparrow è un gruppo di cyberspionaggio attivo almeno dal 2019. ESET ha documentato pubblicamente le sue attività per la prima volta nel 2021, osservando l’utilizzo della vulnerabilità ProxyLogon. Inizialmente noto per attacchi contro strutture alberghiere in diversi Paesi, il gruppo ha successivamente preso di mira governi, organizzazioni internazionali, aziende di ingegneria e studi legali. FamousSparrow è l’unico gruppo conosciuto ad aver impiegato la backdoor SparrowDoor.
Per un’analisi tecnica approfondita degli strumenti utilizzati dal gruppo, è possibile consultare l’articolo di ESET Research “You will always remember this as the day you finally caught FamousSparrow”, pubblicato su WeLiveSecurity.com. Si consiglia di seguire ESET Research On Twitter (now X) for updates on the latest news of the ESET search.
