UNC5221
UNC5221 è un gruppo di spionaggio sostenuto dallo Stato cinese specializzato nello sfruttamento di dispositivi connessi a Internet, che utilizza malware personalizzato malware tecniche di persistenza per infiltrarsi in enti governativi, strutture di difesa, infrastrutture critiche e aziende di alto profilo in tutto il mondo.
L'origine dell'UNC5221
UNC5221 è un gruppo sospettato di essere una minaccia persistente avanzata (APT) sponsorizzata dallo Stato cinese, identificato per la prima volta pubblicamente alla fine del 2023 da Mandiant. Il gruppo è noto per le sue campagne di spionaggio altamente mirate, incentrate sulle infrastrutture connesse a Internet, in particolare sui dispositivi VPN e sui dispositivi periferici. UNC5221 opera con un livello di sofisticazione coerente con obiettivi strategici a lungo termine, tra cui il mantenimento di un accesso persistente, l'esfiltrazione di dati e la sorveglianza della rete.
- Attribuzione: collegato a operazioni di spionaggio informatico legate alla Cina, probabilmente a sostegno del Ministero della Sicurezza di Stato (MSS).
- Motivazione: spionaggio e accesso prolungato a sistemi e dati sensibili.
- Focus operativo: Zero-day , malware invisibile e persistenza nell'infrastruttura periferica.
Paesi destinatari dell'UNC5221
La vittimologia dell'UNC5221 abbraccia diverse regioni:
- Nord America: compresi gli Stati Uniti, con obiettivi quali le agenzie federali e le infrastrutture.
- Europa: in particolare il Regno Unito e gli enti governativi alleati.
- Medio Oriente e Asia-Pacifico: compresi l'Arabia Saudita e altri settori energetici e governativi della regione.
Settori di riferimento dell'UNC5221
L'UNC5221 si rivolge principalmente a settori in linea con le priorità dell'intelligence geopolitica:
- Infrastrutture critiche: fornitori di energia, acqua e gas naturale.
- Settore pubblico e difesa: ministeri, autorità di regolamentazione e organizzazioni legate alle forze armate.
- Tecnologia e produzione: tecnologia medica, settore aerospaziale e produzione avanzata.
- Istituzioni finanziarie: banche e autorità di vigilanza.
Vittime accertate
Sebbene l'identità della maggior parte delle vittime non sia stata resa pubblica, Mandiant ha riferito che all'inizio del 2024 UNC5221 ha compromesso meno di dieci organizzazioni a livello globale. Queste intrusioni erano altamente mirate e gli autori degli attacchi spesso personalizzavano gli impianti in base all'ambiente di ciascuna vittima.
Fasi dell'attacco
Sfrutta le vulnerabilità zero-day n-day presenti nei dispositivi VPN (ad esempio, Ivanti, Citrix).
Installa malware di tipo "dropper" personalizzato malware accesso a livello di sistema.
Utilizza payload in memoria, manomissione dei log e file binari infettati da trojan per eludere il rilevamento da parte di EDR e SIEM.
Distribuisce keylogger e programmi per il furto di credenziali integrati nelle pagine di accesso dei dispositivi.
Esegue strumenti di enumerazione e script personalizzati per mappare la topologia della rete interna.
Sfrutta credenziali rubate e backdoor SSH per spostarsi tra i segmenti di rete.
Monitora il traffico ed estrae documenti riservati o credenziali.
Utilizza script Bash, utilità Python e comandi BusyBox per l'esecuzione del payload.
Trasmette i dati tramite canali SSH crittografati o strumenti integrati.
L'attenzione è rivolta principalmente alla discrezione e alla perseveranza, non a causare disagi. L'obiettivo è lo spionaggio a lungo termine.
Sfrutta le vulnerabilità zero-day n-day presenti nei dispositivi VPN (ad esempio, Ivanti, Citrix).
Installa malware di tipo "dropper" personalizzato malware accesso a livello di sistema.
Utilizza payload in memoria, manomissione dei log e file binari infettati da trojan per eludere il rilevamento da parte di EDR e SIEM.
Distribuisce keylogger e programmi per il furto di credenziali integrati nelle pagine di accesso dei dispositivi.
Esegue strumenti di enumerazione e script personalizzati per mappare la topologia della rete interna.
Sfrutta credenziali rubate e backdoor SSH per spostarsi tra i segmenti di rete.
Monitora il traffico ed estrae documenti riservati o credenziali.
Utilizza script Bash, utilità Python e comandi BusyBox per l'esecuzione del payload.
Trasmette i dati tramite canali SSH crittografati o strumenti integrati.
L'attenzione è rivolta principalmente alla discrezione e alla perseveranza, non a causare disagi. L'obiettivo è lo spionaggio a lungo termine.
TTP utilizzati da UNC5221
Come rilevare UNC5221 con Vectra AI
Domande frequenti
Cosa distingue l'UNC5221 dagli altri APT?
UNC5221 si concentra quasi esclusivamente sui dispositivi periferici, come VPN e firewall, evitando i tradizionali endpoint. I loro attacchi prevedono l'uso di impianti personalizzati e specifici per il dispositivo, nonché di payload invisibili in memoria.
In che modo viene solitamente rilevato l'UNC5221?
Sono difficili da individuare tramite i tradizionali sistemi EDR. Il rilevamento si basa sul rilevamento delle anomalie a livello di rete, sul monitoraggio dell'integrità dei file sugli appliance e sugli indicatori comportamentali. La Vectra AI è in grado di rilevare il traffico di comando e controllo, i comportamenti di tunneling e l'uso improprio di SSH anche quando endpoint non sono in grado di farlo.
Quali vulnerabilità ha sfruttato UNC5221?
Tra i CVE più rilevanti figurano:
- CVE-2023-46805, CVE-2024-21887 (Ivanti VPN)
- CVE-2023-4966 (Citrix NetScaler “Bleed”)
- CVE-2025-0282 e CVE-2025-22457 (vulnerabilità RCE in Ivanti)
Quali sono i settori più a rischio?
Settori con dati sensibili di alto valore: pubblica amministrazione, difesa, energia, produzione tecnologica e finanza. Le organizzazioni che utilizzano dispositivi edge Ivanti o Citrix sono particolarmente a rischio.
In che modo UNC5221 mantiene la persistenza?
Attraverso impianti dannosi inseriti direttamente nell'apparecchio, che spesso resistono ai riavvii e agli aggiornamenti. Gli impianti vengono integrati negli script di sistema o nel firmware.
Le toppe standard sono sufficienti a fermarli?
Non sempre. UNC5221 spesso installa malware post-exploit che resiste alle patch. I dispositivi dovrebbero essere reinstallati o sostituiti, non solo aggiornati con le patch.
Quali indicatori di compromissione (IOC) sono disponibili?
Gli avvisi di Mandiant e della CISA includono:
- Script CGI dannosi
- Connessioni SSH anomale da parte degli utenti di dispositivi integrati
- Processi Python inattesi o registrazioni anomale nelle directory dell'appliance
In che modo UNC5221 sottrae i dati?
Spesso tramite tunnel SSH, canali crittografati o strumenti integrati come SPAWNSNARE. Evitano i protocolli che generano traffico visibile e spesso sfuggono al controllo dei firewall perimetrali.
In che modo i difensori possono reagire in modo efficace?
- Implementare strumenti di rilevamento e risposta di rete (NDR) come Vectra AI monitorare il traffico crittografato e laterale.
- Verificare l'integrità dei dispositivi VPN e firewall.
- Controlla la presenza di processi non autorizzati o sessioni SSH non autorizzate.
- Isolare immediatamente i dispositivi compromessi.
Qual è l'obiettivo a lungo termine dell'UNC5221?
Le loro campagne lasciano intendere che l'obiettivo sia uno spionaggio persistente, volto a raccogliere informazioni in modo discreto in settori strategici a livello globale, senza essere scoperti né subire interferenze.