Nuove operazioni del gruppo hacker cinese “Playful Taurus” in Iran, lo rileva Unit 42 di Palo Alto Networks

redazione

“Playful Taurus” conosciuto anche come APT15, BackdoorDiplomacy, Vixen Panda, Kechan e NICKEL, è un gruppo hacker cinese specializzato in minacce avanzate che conduce quotidianamente campagne di spionaggio.

Il gruppo, attivo dal 2010, in tutti questi anni ha colpito nazioni ed entità governative e diplomatiche in Nord e Sud America, Africa e Medio Oriente.

A giugno 2021, ESET ha scoperto che il gruppo ha aggiornato il proprio kit di strumenti per includere una backdoor chiamata Turian, la quale rimane in fase di sviluppo attivo e sembra sia utilizzata esclusivamente dagli attori di Playful Taurus. Seguendo l’evoluzione di questa backdoor Unit 42 ne ha recentemente identificate nuove varianti e nuove infrastrutture di comando e controllo. L’analisi dei campioni e delle connessioni all’infrastruttura dannosa suggerisce che diverse reti governative iraniane sono state probabilmente compromesse.

Collegando gli elementi a disposizione, i ricercatori di Unit 42 hanno identificato l’infrastruttura governativa iraniana che ha stabilito connessioni con un server di comando e controllo (C2) riconducibile a Playful Taurus. Facendo perno su uno degli IP del governo iraniano, hanno poi identificato un’ulteriore infrastruttura che ospita certificati che si sovrappongono a un secondo server C2 di Playful Taurus.

Il gruppo di cybercriminali continua a evolvere le proprie tattiche e strumenti e i recenti aggiornamenti della backdoor Turian e la nuova infrastruttura C2 suggeriscono che continuerà ad avere successo nelle proprie campagne di spionaggio informatico.