Gli esperti di ESET Research hanno scoperto e analizzato Spellbinder e WizardNet, strumenti utilizzati dal gruppo APT TheWizards per condurre attacchi adversary-in-the-middle e reindirizzare il traffico degli aggiornamenti applicativi verso server controllati dagli attaccanti
Researchers of ESET, leader europeo globale nel mercato della cybersecurity, hanno analizzato Spellbinder, uno strumento utilizzato per il movimento laterale e per eseguire attacchi adversary-in-the-middle dal gruppo APT TheWizards, allineato alla Cina. Spellbinder consente questi attacchi sfruttando lo spoofing dell’autoconfigurazione degli indirizzi IPv6 (stateless address autoconfiguration o SLAAC), permettendo agli attaccanti di reindirizzare i protocolli di aggiornamento di software cinesi legittimi verso server malevoli. Il software legittimo viene così ingannato e indotto a scaricare ed eseguire componenti dannosi che avviano la backdoor WizardNet.
TheWizards è attivo in modo costante almeno dal 2022 fino a oggi e, secondo la telemetria di ESET, prende di mira individui, società di gioco d’azzardo ed entità non identificate nelle Filippine, in Cambogia, negli Emirati Arabi Uniti, nella Cina continentale e a Hong Kong.
“Abbiamo scoperto e analizzato inizialmente questo strumento nel 2022 e osservato una nuova versione, con alcune modifiche, distribuita su macchine compromesse nel 2023 e nel 2024”, afferma Facundo Muñoz, ricercatore di ESET che ha analizzato Spellbinder e WizardNet. “La nostra ricerca ci ha portato a scoprire uno strumento progettato per eseguire attacchi adversary-in-the-middle tramite spoofing SLAAC IPv6, intercettando le comunicazioni di rete e inviando risposte contraffatte per reindirizzare il traffico verso server malevoli e fornire aggiornamenti dannosi a software cinesi legittimi”, spiega Muñoz.
Il payload finale dell’attacco è una backdoor che ESET ha denominato WizardNet, un impianto modulare che si collega a un controller remoto per ricevere ed eseguire moduli .NET sulla macchina compromessa. I ricercatori si sono concentrati su uno dei casi più recenti, avvenuto nel 2024, in cui l’aggiornamento del software Tencent QQ è stato dirottato. Il server malevolo che invia le istruzioni di aggiornamento risulta ancora attivo. Questa variante di WizardNet supporta cinque comandi, tre dei quali consentono l’esecuzione in memoria di moduli .NET, estendendo così le funzionalità sulla macchina infetta.
Emergono anche collegamenti tra TheWizards e l’azienda cinese Dianke Network Security Technology (nota anche come UPSEC), collegata alla backdoor DarkNights (nota anche come DarkNimbus). Secondo il NCSC del Regno Unito, questa backdoor ha tra i suoi principali obiettivi anche le comunità tibetane e uigure. Sebbene TheWizards utilizzi una backdoor diversa, WizardNet, il server di hijacking risulta configurato per distribuire DarkNights ad applicazioni in fase di aggiornamento su dispositivi Android.
Per un’analisi più approfondita e una descrizione tecnica degli strumenti di TheWizards, si rimanda all’ultimo post del blog di ESET Research “TheWizards APT group uses SLAAC spoofing to perform adversary-in-the-middle attacks" his WeLiveSecurity.com. Per rimanere aggiornati sulle ultime novità è possibile seguire ESET Research su X (precedentemente noto come Twitter), BlueSky e Mastodon.
