L’APT cinese Flax Typhoon colpisce target associati a Taiwan

Nel vasto e articolato ecosistema degli avversari state-sponsored cinesi, si segnala Flax Typhoon (alias Ethereal Panda, RedJuliett), un gruppo attivo almeno dalla metà del 2021 che opera presumibilmente da Fuzhou, nella provincia del Fujian.

Gli analisti fanno notare che la vicinanza geografica tra Fuzhou e Taiwan non sarebbe casuale. La città, infatti, rientra nel Comando del Teatro Orientale dell’Esercito Popolare di Liberazione (PLA), che si concentra fortemente sul prendere di mira Taiwan. Sebbene non sia stata dimostrata un’eventuale connessione diretta tra Flax Typhoon e il Ministero cinese della Sicurezza di Stato (MSS) o il PLA, risulta evidente l’interesse quasi specifico che questo APT ha dimostrato nei confronti della Repubblica di Cina.

Si ipotizza che le sue operazioni di cyberspionaggio contribuiscano alla raccolta di informazioni utili a sostenere la politica di Pechino sulle relazioni tra le due sponde dello Stretto. Inoltre, la vittimologia e i modelli di targeting evidenziano un focus sulla politica economica di Taiwan e sulle sue relazioni commerciali e diplomatiche con altri Paesi.

Le prime segnalazioni relative a questo avversario risalgono ad agosto 2023. Allora, gli analisti avevano tracciato offensive contro agenzie governative e organizzazioni dei settori dell’istruzione, manifatturiero e IT con sede a Taiwan, oltre ad alcune realtà localizzate nel Sudest asiatico, in Nord America e Africa.

Fra novembre 2023 e aprile 2024, sono state rilevate nuove attività malevole, indirizzate principalmente contro più di settanta fra realtà accademiche, governative e tecnologiche di Taiwan, think tank incentrati sulla politica economica taiwanese, oltre a diverse ambasciate dei Paesi del Sud e del Sudest asiatico che operano sull’isola.

In aggiunta, Flax Typhoon avrebbe colpito entità di molteplici settori verticali con base a Hong Kong, in Malesia, Laos, Corea del Sud, Stati Uniti, Gibuti, Kenya e Ruanda. Nel dettaglio, si tratterebbe di aziende dei settori aerospaziale, finanziario, dei media, edile, automotive, sanitario, energetico, alberghiero e legale, produttori di elettronica, associazioni del settore informatico, compagnie aeree, una multinazionale della logistica, un ente di beneficenza e una ONG attiva nel campo dei diritti umani.

Fra le tecniche di attacco adottate dal gruppo, spiccano lo sfruttamento di vulnerabilità note in dispositivi di rete come firewall e VPN, attività di post-exploitation basate su web shell open-source come devilzShell e AntSword e lo sfruttamento della falla Dirty Cow (CVE-2016-5195) di Linux per scalare i privilegi.

Si segnala che Flax Typhoon ha mostrato interesse anche nel sondare dispositivi F5 BIGIP e Fortinet FortiGate connessi a internet. Inoltre, alla fine del 2023, è entrato in comunicazione con device firewall Zyxel ZyWALL localizzati a Taiwan.

Per la sua peculiare funzione di hub tecnologico e manifatturiero di importanza critica a livello globale, Taiwan è verosimilmente esposto a nuove offensive da parte di Flax Typhoon, che si prevede continuerà a condurre operazioni di spionaggio, concentrandosi su organizzazioni tecnologiche, governative, accademiche e think tank.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Le attività del Centro sono finalizzate a produrre informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici, che consentono alle organizzazioni di valutare gli scenari di rischio, e a fornire assistenza in caso di incidente informatico.