Proofpoint ha identificato un nuovo attore di minacce IT molto attivo, TA2722, denominato dai ricercatori “Balikbayan Foxes”. Nel corso del 2021, in una serie di campagne ha impersonato più enti governativi filippini, tra cui il Dipartimento della Salute, la Philippine Overseas Employment Administration (POEA) e l’ufficio doganale. Altre campagne hanno sfruttato l’ambasciata di Manila nel Regno dell’Arabia Saudita (KSA) e la filiale delle Filippine di DHL. I messaggi erano destinati a organizzazioni di numerosi settori tra Nord America, Europa e Sud-Est asiatico, tra cui spedizioni, logistica, produzione, servizi alle imprese, farmaceutico, energia e finanza.
Proofpoint ritiene che questo attore stia prendendo di mira organizzazioni direttamente o indirettamente impegnate con il governo filippino sulla base di un modello continuo di spoofing degli indirizzi email, inviando esche progettate per impersonare entità governative. Ad esempio, le aziende di spedizione, trasporto e logistica collaborano di frequente con i funzionari doganali nei porti di scalo. Inoltre, le aziende manifatturiere ed energetiche supportano e gestiscono vaste operazioni di approvvigionamento che probabilmente richiedono una corrispondenza sia con le organizzazioni del lavoro che con quelle doganali.
Tutte le campagne hanno distribuito i trojan di accesso remoto (RAT) Remcos o NanoCore, tipicamente utilizzati per la raccolta di informazioni, operazioni di furto di dati, monitoraggio e controllo dei computer compromessi. L’infrastruttura associata al malware è cambiata nel tempo, mentre le email sono state riutilizzate per lungo tempo.
Nel 2020, gli enti governativi filippini hanno emesso numerosi alert, avvertendo gli utenti dell’attività legata a esche che utilizzano informazioni su COVID-19 nelle Filippine e sulle attività dell’Overseas Employment Administration.
