UNC3886
UNC3886, chiamato CAULDRON PANDA da CrowdStrike, è un set di intrusioni altamente qualificate di tipo China-nexus che si ritiene operi a diretto sostegno degli obiettivi dell'intelligence statale cinese.
Origine di UNC3886
Attivo almeno dalla fine del 2021 e segnalato pubblicamente a partire dal febbraio 2023, il gruppo è noto per:
- Competenza nello sfruttamento zero-day: hanno sfruttato quattro diverse vulnerabilità dei prodotti Fortinet e VMware (CVE-2022-41328, -42475; CVE-2023-20867, -34048) prima che fossero disponibili le patch del fornitore.
- Disciplina della sicurezza operativa: uso di dead-drop resolver (DDR) su GitHub, rootkit su misura e log scrubber per ridurre gli artefatti forensi.
- stack di malware ibrido: impianti proprietari (WhizShell, variante SideWalk, backdoor VMCI), strumenti open-source personalizzati (FastReverseProxy, TinyShell, REPTILE, MEDUSA) e abuso di canali SaaS affidabili (GitHub Pages, Google Drive) per il C2 occulto.
Il mestiere si allinea fortemente con le priorità di raccolta di informazioni del Partito Comunista Cinese (PCC) verso le catene di approvvigionamento tecnologico, la ricerca aerospaziale e le infrastrutture di telecomunicazione globali.
Paesi destinatari dell'UNC3886
La telemetria della campagna si concentra negli Stati Uniti e a Singapore, con altre vittime nel sud-est asiatico, in Oceania e, in misura minore, in Europa e Africa. La dispersione geografica rispecchia i punti globali in cui si interconnettono le catene di fornitura aerospaziali alleate degli Stati Uniti e di Taiwan e in cui transita il traffico regionale di telecomunicazioni.
Industrie interessate dall'UNC3886
UNC3886 si concentra sulle organizzazioni le cui reti forniscono o trasportano comunicazioni strategiche e IP tecnici sensibili. I settori confermati includono vettori di telecomunicazioni, primari satellitari e aerospaziali commerciali, fornitori di apparecchiature di rete, fornitori cloude (in un campione più ristretto) laboratori tecnologici governativi.
Vittime di UNC3886
I rapporti pubblici citano almeno:
- Un grande fornitore di telecomunicazioni statunitense (compromesso a febbraio 2023).
- Un produttore aerospaziale con sede negli Stati Uniti (intrusione scoperta nel giugno 2024).
- Un operatore di telecomunicazioni di Singapore (attività parallela giugno 2024).
- Diversi operatori senza nome i cui hypervisor ESXi e dispositivi FortiGate sono stati cooptati durante la "Campagna 23-022".
Fasi di attacco dell'UNC3886
Sfrutta CVE zero-day in FortiOS SSL-VPN e VMware vCenter/Tools; punto di appoggio alternativo tramite credenziali TACACS+ o SSH compromesse raccolte in precedenza.
Carica moduli kernel REPTILE modificati o rootkit MEDUSA LD_PRELOAD per ottenere il root; abusa dei privilegi di vpxuser su ESXi per il controllo a livello di host.
Nasconde i file/processi tramite i comandi REPTILE, installa yum-versionlock per bloccare i pacchetti OpenSSH retrodatati ed esegue il log cleaner di Hidemyass.
Backdoor ssh/sshd, sniffa il traffico TACACS+ con LOOKOVER, scarica le password criptate del vCenter DB e cattura le credenziali in memoria con il key-logging MEDUSA.
Esegue un binario Nmap statico su misura (sc) per lo sweep delle porte; enumera gli elenchi dei guest VMware e i dati delle interfacce di rete da FortiGate e dagli host ESXi.
Sfrutta le chiavi/password SSH rubate, le sessioni amministrative di FortiGate e CVE-2023-20867 Guest Operations per spostarsi tra le macchine virtuali e le appliance di rete.
Utilizza WhizShell e SideWalk per mettere in scena documenti e output di comando; le backdoor VMCI (VIRTUALSHINE/-PIE/-SPHERE) trasmettono shell interattive per una raccolta mirata.
Distribuisce TinyShell e FastReverseProxy per eseguire comandi arbitrari; innesca payload attraverso script systemd o script RC creati da rootkit.
RIFLESPINE carica gli archivi crittografati tramite Google Drive; MOPSLED recupera le istruzioni C2 da GitHub, quindi sintonizza i dati su TCP personalizzato con ChaCha20.
L'obiettivo principale è lo spionaggio, ma l'impatto secondario comprende la persistenza dei dispositivi di rete e la potenziale manipolazione della catena di approvvigionamento; finora non sono stati osservati payload distruttivi.
Sfrutta CVE zero-day in FortiOS SSL-VPN e VMware vCenter/Tools; punto di appoggio alternativo tramite credenziali TACACS+ o SSH compromesse raccolte in precedenza.
Carica moduli kernel REPTILE modificati o rootkit MEDUSA LD_PRELOAD per ottenere il root; abusa dei privilegi di vpxuser su ESXi per il controllo a livello di host.
Nasconde i file/processi tramite i comandi REPTILE, installa yum-versionlock per bloccare i pacchetti OpenSSH retrodatati ed esegue il log cleaner di Hidemyass.
Backdoor ssh/sshd, sniffa il traffico TACACS+ con LOOKOVER, scarica le password criptate del vCenter DB e cattura le credenziali in memoria con il key-logging MEDUSA.
Esegue un binario Nmap statico su misura (sc) per lo sweep delle porte; enumera gli elenchi dei guest VMware e i dati delle interfacce di rete da FortiGate e dagli host ESXi.
Sfrutta le chiavi/password SSH rubate, le sessioni amministrative di FortiGate e CVE-2023-20867 Guest Operations per spostarsi tra le macchine virtuali e le appliance di rete.
Utilizza WhizShell e SideWalk per mettere in scena documenti e output di comando; le backdoor VMCI (VIRTUALSHINE/-PIE/-SPHERE) trasmettono shell interattive per una raccolta mirata.
Distribuisce TinyShell e FastReverseProxy per eseguire comandi arbitrari; innesca payload attraverso script systemd o script RC creati da rootkit.
RIFLESPINE carica gli archivi crittografati tramite Google Drive; MOPSLED recupera le istruzioni C2 da GitHub, quindi sintonizza i dati su TCP personalizzato con ChaCha20.
L'obiettivo principale è lo spionaggio, ma l'impatto secondario comprende la persistenza dei dispositivi di rete e la potenziale manipolazione della catena di approvvigionamento; finora non sono stati osservati payload distruttivi.
TTP utilizzati da UNC3886
Come rilevare UNC3886 con Vectra AI
DOMANDE FREQUENTI
Come fa UNC3886 ad arrivare per primo?
Sfruttando le vulnerabilità di FortiGate o VMware vCenter/Tools non patchate; il ritardo nella gestione delle patch è il principale fattore di riduzione del rischio.
A quali indicatori precoci dobbiamo dare la caccia?
GitHub in uscita raw.githubusercontent.com richieste da ESXi o vCenter, creazioni di socket VMCI inaspettate e file insoliti in /var/lib/fwupdd/.
Quale telemetria EDR espone meglio il REPTILE?
Eventi di caricamento del modulo in modalità kernel (insmod, modprobe) da percorsi non standard, da anomalie di processo nascoste e dalla scomparsa improvvisa di /proc/<pid> voci.
I controlli in rete possono fermare la RIFLESPINA?
Sì: l'ispezione TLS o il filtraggio in uscita che blocca gli host API di Google Drive per le risorse di classe server interromperà il loop C2.
Quali fonti di log aiutano a rilevare il furto di credenziali TACACS+?
Catture di pacchetti su TCP/49, errori di hash su tac_plus binario e le scritture ad alta frequenza su /var/log/tac* o /var/log/ldapd*.gz.
L'hardening SSH standard è sufficiente?
In parte; implementare anche il monitoraggio dell'integrità dei file (FIM) su /usr/bin/ssh, /usr/sbin/sshde abilitare AllowTcpForwarding no oltre a un rigoroso pinning delle versioni, in modo da segnalare le sostituzioni dannose.
Come si può individuare un abuso di VMCI all'interno di ESXi?
Abilitare l'auditing della shell di ESXi, monitorare /var/log/vmkernel.log per VMCISock eventi di connessione e limitare vmci0 nella configurazione VMX quando non è necessario.
Quale risposta immediata se viene trovato WhizShell?
Isolare l'hypervisor, raccogliere la memoria volatile, esportare le istantanee dei dischi delle macchine virtuali e ruotare tutte le credenziali dei servizi vCenter ed ESXi; è probabile che la persistenza esista anche sulle appliance FortiGate o TACACS+.
L'autenticazione a più fattori (MFA) è utile?
L'MFA sugli account VPN e SSH Linux/ESXi privilegiati interrompe gli spostamenti laterali una volta raccolte le credenziali, ma non attenua i percorsi di sfruttamento zero-day.
Mitigazioni a lungo termine consigliate?
① Gestione aggressiva del ciclo di vita di patch/apparecchiature virtuali; ② firme di prevenzione degli exploit (IPS/NGFW) per le CVE citate; ③ linee di base per l'integrità dell'host per i dispositivi di rete; ④ progettazione di account con privilegi minimi e inoltro di audit TACACS+; e ⑤ playbook per la caccia continua alle minacce allineati all'elenco TTP sopra riportato.