APT32, il gruppo di attaccanti vietnamiti, hanno preso come obiettivo il governo di Wuhan e il Ministero cinese per la gestione dell’emergenza nella loro ultimissima attività di spionaggio correlata al Covid-19.
A partire da (circa) gennaio ad oggi, degli aggressori che sospettiamo essere il gruppo vietnamita APT32 hanno condotto campagne di attacco verso obiettivi cinesi, gli analisti di Mandiant Threat Intelligence ritengono che tali aggressioni siano state progettate per raccogliere informazioni sulla crisi COVID-19.
I messaggi di spearphishing sono stati inviati da APT32 al Ministero cinese per la gestione dell’emergenza e anche al governo della provincia di Wuhan, dove COVID-19 è stato identificato per la prima volta. Sebbene l’obiettivo dell’Asia orientale sia coerente con l’attività che FireEye ha segnalato in precedenza per l’APT32, questo avvenimento e altre intrusioni segnalate pubblicamente, sono parte di un aumento globale delle attività di spionaggio informatico legato alla crisi, portato avanti da Stati alla disperata ricerca di soluzioni e di informazioni non pubbliche.
Email di phishing con link per il tracciamento dei destinatari appartenenti al Governo cinese
Il primo caso noto di questa campagna è stato identificato il 6 gennaio 2020, quando APT32 ha inviato una email con un link di tracciamento univoco al Ministero cinese per la gestione dell’emergenza utilizzando come indirizzo mittente lijianxiang1870@163.com. L’oggetto della email voleva far credere che l’email fosse una “relazione sui risultati del primo trimestre delle offerte per la fornitura per l’ufficio”, il link incorporato conteneva l’indirizzo email della vittima ed un codice per riferire in modo preciso agli aggressori se l’email fosse stata aperta.
