Gli hacker cinesi di FamousSparrow colpiscono di nuovo: nel mirino le aziende finanziarie USA

FamousSparrow, gruppo hacker cinese sponsorizzato dallo Stato, è ancora attivo e ha preso di mira enti governativi, organizzazioni finanziarie e istituti di ricerca negli ultimi anni, secondo quanto rivelato dagli esperti.

I ricercatori di sicurezza informatica di ESET hanno recentemente individuato una nuova variante del malware utilizzato dal gruppo, fatto che ha permesso di ricostruire parte delle sue attività su scala globale.

ESET è stata contattata da un’associazione commerciale statunitense, operante nel settore finanziario, per analizzare un’infezione da malware. Durante l’indagine, sono emerse due versioni precedentemente sconosciute di SparrowDoor, il principale backdoor impiegato da FamousSparrow.

Secondo ESET, il gruppo non era stato più rilevato dal 2022, portando la comunità della cybersecurity a ritenerlo inattivo. Tuttavia, in quel periodo, FamousSparrow ha preso di mira un’istituzione governativa in Honduras e un istituto di ricerca in Messico. Quest’ultimo è stato violato solo pochi giorni prima dell’attacco a un’organizzazione statunitense, entrambi avvenuti nel luglio 2024.

Le due nuove versioni di SparrowDoor individuate mostrano progressi significativi rispetto alle precedenti, in particolare per quanto riguarda la qualità del codice e l’architettura. Una di esse introduce anche la parallelizzazione dei comandi.

Nonostante gli aggiornamenti, entrambe le versioni possono essere ricondotte direttamente a varianti già documentate pubblicamente. Anche i loader utilizzati presentano ampie sovrapposizioni di codice con quelli precedentemente attribuiti a FamousSparrow, come spiegato dal ricercatore di ESET Alexandre Côté Cyr.

Gli investigatori non sono riusciti a determinare il vettore d’infezione iniziale, ma hanno evidenziato che l’azienda colpita utilizzava versioni obsolete di Windows Server e Microsoft Exchange, note per la presenza di vulnerabilità sfruttabili pubblicamente. Qualunque sia stata la falla utilizzata, FamousSparrow ha installato una webshell su un server IIS, ottenendo così l’accesso al sistema e la possibilità di distribuire ulteriori payload.

Oltre a SparrowDoor, il gruppo ha impiegato anche ShadowPad e altri strumenti in grado di eseguire comandi, effettuare keylogging, esfiltrare file, acquisire schermate e svolgere ulteriori operazioni malevole.