UNC5221
UNC5221 è un gruppo di spionaggio sponsorizzato dallo Stato cinese, specializzato nello sfruttamento di apparecchiature rivolte a Internet, che utilizza malware personalizzato e tecniche di persistenza per infiltrarsi in aziende governative, della difesa, di infrastrutture critiche e di alto valore in tutto il mondo.

L'origine di UNC5221
UNC5221 è un gruppo di Advanced Persistent Threat (APT) sospettato di essere sponsorizzato dallo Stato cinese, identificato pubblicamente per la prima volta alla fine del 2023 da Mandiant. Il gruppo è noto per le sue campagne di spionaggio altamente mirate, incentrate sulle infrastrutture rivolte a Internet, in particolare sulle appliance VPN e sui dispositivi edge. UNC5221 opera con un livello di sofisticazione coerente con gli obiettivi strategici a lungo termine, tra cui il mantenimento dell'accesso persistente, l'esfiltrazione dei dati e la sorveglianza della rete.
- Attribuzione: Legato a operazioni di spionaggio informatico legate alla Cina, probabilmente a sostegno del Ministero della Sicurezza di Stato (MSS).
- Motivazione: Spionaggio e accesso a lungo termine a sistemi e dati sensibili.
- Focus operativo: Sfruttamento Zero-day , impianti di malware furtivi e persistenza nell'infrastruttura edge.
Paesi destinatari dell'UNC5221
La vittimologia dell'UNC5221 abbraccia diverse regioni:
- America del Nord: compresi gli Stati Uniti, con obiettivi nelle agenzie federali e nelle infrastrutture.
- Europa: In particolare il Regno Unito e gli enti governativi alleati.
- Medio Oriente e Asia-Pacifico: compresa l'Arabia Saudita e altri settori energetici e governativi regionali.
Industrie interessate dall'UNC5221
UNC5221 si rivolge principalmente a settori allineati alle priorità dell'intelligence geopolitica:
- Infrastrutture critiche: Fornitori di energia, acqua e gas naturale.
- Governo e Difesa: Ministeri, autorità di regolamentazione e organizzazioni affiliate alle forze armate.
- Tecnologia e produzione: Tecnologia medica, aerospaziale e manifatturiera avanzata.
- Istituzioni finanziarie: Banche e agenzie di regolamentazione.
Vittime conosciute
Sebbene le identità della maggior parte delle vittime non siano state rivelate pubblicamente, Mandiant ha riferito che UNC5221 ha compromesso meno di dieci organizzazioni a livello globale all'inizio del 2024. Queste intrusioni erano altamente mirate, con gli aggressori che spesso personalizzavano gli impianti per ogni ambiente vittima.
Fasi dell'attacco

Sfrutta le vulnerabilità zero-day e n-day nelle appliance VPN (ad esempio, Ivanti, Citrix).

Installa un malware dropper personalizzato con accesso a livello di sistema.

Utilizza payload in memoria, manomissione dei registri e binari troianizzati per eludere il rilevamento EDR e SIEM.

Distribuisce keylogger e ruba credenziali incorporati nelle pagine di login dei dispositivi.

Esegue strumenti di enumerazione e script personalizzati per mappare la topologia della rete interna.

Sfrutta credenziali rubate e backdoor SSH per spostarsi tra i segmenti di rete.

Monitora il traffico ed estrae documenti o credenziali sensibili.

Utilizza script Bash, utility Python e comandi BusyBox per l'esecuzione del payload.

Tunnel di dati tramite canali SSH criptati o strumenti integrati.

Si concentra principalmente sulla furtività e sulla persistenza, non sull'interruzione. L'obiettivo è lo spionaggio a lungo termine.

Sfrutta le vulnerabilità zero-day e n-day nelle appliance VPN (ad esempio, Ivanti, Citrix).

Installa un malware dropper personalizzato con accesso a livello di sistema.

Utilizza payload in memoria, manomissione dei registri e binari troianizzati per eludere il rilevamento EDR e SIEM.

Distribuisce keylogger e ruba credenziali incorporati nelle pagine di login dei dispositivi.

Esegue strumenti di enumerazione e script personalizzati per mappare la topologia della rete interna.

Sfrutta credenziali rubate e backdoor SSH per spostarsi tra i segmenti di rete.

Monitora il traffico ed estrae documenti o credenziali sensibili.

Utilizza script Bash, utility Python e comandi BusyBox per l'esecuzione del payload.

Tunnel di dati tramite canali SSH criptati o strumenti integrati.

Si concentra principalmente sulla furtività e sulla persistenza, non sull'interruzione. L'obiettivo è lo spionaggio a lungo termine.