APT41
L'APT41 (Advanced Persistent Threat) è un gruppo di hacker che si ritiene provenga dalla Cina. Sono anche conosciuti con lo pseudonimo di Winnti Group. Questo nome è stato dato loro da esperti di malware e deriva da uno dei loro strumenti di hacking più noti chiamato Trojan backdoor Winnti, che è stato individuato per la prima volta nel 2011. Questo gruppo di hacker sembra essere per lo più motivato finanziariamente.
Sommario
Si rivolge principalmente all’industria dei giochi
A differenza della maggior parte dei gruppi di hacking di alto profilo che tendono a prendere di mira settori di grande importanza come militare, farmaceutico, energetico, ecc., Il Gruppo Winnti preferisce inseguire le società che operano nel settore dei giochi. Anche il loro primo strumento di hacking più popolare, il trojan backdoor Winnti, è stato propagato tramite un falso aggiornamento per un gioco online, che all'epoca era molto popolare. Una volta scoperta questa minaccia, la maggior parte degli utenti ha iniziato a ipotizzare che gli sviluppatori del gioco utilizzassero il Trojan Winnti per raccogliere dati sui giocatori. Tuttavia, queste voci sono presto scomparse poiché i ricercatori sulla sicurezza informatica hanno confermato che il trojan backdoor Winnti appartiene a un attore malintenzionato di terze parti.
Aggiorna regolarmente gli strumenti
Il gruppo APT41 utilizza da otto anni il proprio strumento di hacking, il Winnti Trojan, ma non pensa nemmeno per un secondo che questa minaccia sia obsoleta e innocua. Niente affatto, il Winnti Group si è assicurato di aggiornare regolarmente questo strumento di hacking per garantire che rimanga un passo avanti rispetto agli esperti di malware. Il gruppo di hacker non solo ha ulteriormente potenziato il proprio strumento nel corso degli anni, ma si è anche assicurato che il trojan backdoor Winnti lasci tracce minime della sua attività dannosa per rimanere nascoste il più a lungo possibile.
Utilizza certificati digitali raccolti
Uno dei marchi di fabbrica del gruppo di hacker APT41 è l'utilizzo di certificati digitali, che rubano infiltrandosi nelle reti di alcune società. Una volta completato, possono lanciare campagne rivolte alle organizzazioni che operano nello stesso settore. Mentre gli esperti di malware sono consapevoli dell'inganno del Winnti Group e hanno lavorato instancabilmente per assicurarsi che i certificati ottenuti venissero revocati, questo processo ha richiesto molto tempo per essere completato, quindi le attività dannose del Winnti Group sono spesso svolte senza interruzioni. .
Alcuni degli altri strumenti nell'arsenale del gruppo APT41 sono il malware BOOSTWRITE, il trojan backdoor PortReuse e la backdoor ShadowPad.
