I ricercatori di Unit 42 di Palo Alto Networks hanno identificato un nuovo RAT, trojan di accesso remoto, difficile da rilevare, denominato PingPull, utilizzato dal gruppo APT GALLIUM.
GALLIUM (noto anche come Operation Soft Cell), è diventato celebre per aver colpito società di telecomunicazioni operanti nel sud-est asiatico, in Europa e in Africa. Il target geografico, il focus settoriale e le competenze tecniche del gruppo, insieme all’uso di malware e tattiche, tecniche e procedure (TTP) note agli attori delle minacce cinesi, hanno indotto il settore a ritenere che GALLIUM sia probabilmente un gruppo sponsorizzato dallo Stato cinese.
Nell’ultimo anno, questo gruppo ha allargato il proprio obiettivo, aggiungendo anche istituzioni finanziarie ed enti governativi. In questo periodo, abbiamo identificato diverse connessioni tra l’infrastruttura di GALLIUM ed entità mirate in Afghanistan, Australia, Belgio, Cambogia, Malesia, Mozambico, Filippine, Russia e Vietnam. Soprattutto, abbiamo identificato l’utilizzo da parte del gruppo di un nuovo trojan per l’accesso remoto denominato PingPull a supporto delle sue attività di spionaggio.
PingPull è in grado di sfruttare tre protocolli (ICMP, HTTP(S) e raw TCP) per il comando e il controllo (C2). Sebbene l’uso del tunneling ICMP non sia una tecnica nuova, PingPull utilizza ICMP per rendere più difficile l’individuazione delle proprie comunicazioni C2, poiché poche organizzazioni implementano l’ispezione del traffico ICMP sulle loro reti.