Porta sul retro di MarsSnake

Gli esperti di sicurezza informatica hanno recentemente rivelato le tattiche di un gruppo di hacker affiliato alla Cina, noto come UnsolicitedBooker. Questo gruppo ha preso di mira un'organizzazione internazionale anonima in Arabia Saudita utilizzando una backdoor precedentemente sconosciuta chiamata MarsSnake. La loro attività dura da diversi anni, a dimostrazione di un interesse costante per questo specifico obiettivo.

Spear-phishing con un tocco di novità: biglietti aerei come esca

Il metodo di infiltrazione del gruppo si basa in larga misura su email di spear-phishing. Queste email spesso includono biglietti aerei come esca per indurre le vittime ad aprire allegati minacciosi. I bersagli sono principalmente organizzazioni governative in Asia, Africa e Medio Oriente. L'uso di esche legate ai voli da parte degli aggressori rende i loro tentativi di phishing particolarmente convincenti e mirati.

Arsenale di malware noto e identità sovrapposte

Gli attacchi di UnsolicitedBooker sono caratterizzati dall'impiego di numerose backdoor note, tra cui:

• Chinoxy
• DeedRAT
• Edera velenosa
• BeRAT

Questi malware sono comunemente collegati a gruppi cinesi di cyberspionaggio. Inoltre, UnsolicitedBooker condivide alcune caratteristiche con un altro cluster chiamato Space Pirates e con un gruppo non identificato che ha utilizzato una backdoor chiamata Zardoor contro un'organizzazione no-profit islamica in Arabia Saudita.

Analisi dell’ultima campagna: l’implementazione del backdoor MarsSnake

La campagna più recente, datata gennaio 2025, ha preso di mira la stessa organizzazione saudita. L'attacco ha coinvolto un'email di phishing che impersonava Saudia Airlines con un allegato contenente una prenotazione di un volo. I dettagli principali includono:

• Allegato : un documento di Microsoft Word camuffato da biglietto aereo
• Origine del biglietto esca : modificato da un PDF disponibile al pubblico sul sito web di condivisione della ricerca di Academia
• Processo di infezione : l'apertura del documento Word attiva una macro VBA che scrive un file eseguibile (smssdrvhost.exe) sul sistema della vittima
• Funzione dell'eseguibile : funge da caricatore per MarsSnake, la backdoor appena scoperta
• Comunicazione : MarsSnake si connette a un server remoto (contact.decenttoy.top) per ricevere comandi

I ripetuti tentativi di intrusione nel 2023, 2024 e 2025 evidenziano la campagna mirata di UnsolicitedBooker contro questa organizzazione.

MarsSnake: uno strumento potente nell’arsenale di UnsolicitedBooker

MarsSnake è una backdoor completa che offre agli aggressori un controllo significativo sui computer infetti. Consente l'esecuzione di comandi arbitrari e l'accesso illimitato in lettura/scrittura ai file. La backdoor mantiene il contatto con un server di comando e controllo (C&C) per ricevere istruzioni. Finora, MarsSnake sembra essere utilizzato esclusivamente da UnsolicitedBooker, il che lo identifica come strumento distintivo di questo autore di minacce.