I ricercatori di Kaspersky hanno scoperto “GhostEmperor”, un threat actor di lingua cinese individuato durante il monitoraggio di attività di gruppi APT. GhostEmperor è un’operazione unica che dura da diverso tempo e che utilizza le vulnerabilità di Microsoft Exchange per prendere di mira vittime di alto profilo tramite strumenti avanzati.
Si concentra principalmente su obiettivi nel sud-est asiatico, tra cui enti governativi e società di telecomunicazioni. Non dimostra però affinità con altri threat actor noti.
Questo gruppo criminale si distingue perché utilizza un rootkit Windows in modalità kernel finora sconosciuto. Per aggirare il meccanismo di Windows Driver Signature Enforcement, GhostEmperor utilizza uno schema di caricamento che coinvolge il componente di un progetto open-source denominato “Cheat Engine”. Questo set di strumenti avanzati si è rivelato unico: i ricercatori di Kaspersky non hanno trovato alcuna affinità con altri threat actor noti. Secondo gli esperti il set di strumenti è in uso almeno da luglio 2020.
“Man mano che le tecniche di rilevamento e protezione dalle minacce si evolvono, lo fanno anche gli attori APT, in genere aggiornando i loro toolset. GhostEmperor è un chiaro esempio di come i criminali informatici cerchino nuove tecniche da utilizzare e nuove vulnerabilità da sfruttare. Utilizzando un rootkit sofisticato e precedentemente sconosciuto, hanno aggiunto ulteriori problemi alla già consolidata tendenza degli attacchi contro i server Microsoft Exchange”, ha commentato David Emm, security expert di Kaspersky.
