FOCUS ON

EagleMsgSpy, un tool utilizzato dalla Polizia locale cinese

09 Gennaio 2025
EagleMsgSpy TS-Way cover

Ricercatori di sicurezza hanno scoperto EagleMsgSpy, un tool di sorveglianza e intercettazione che sarebbe in uso presso gli uffici di pubblica sicurezza della Cina continentale.

Lo spyware, utilizzato almeno dal 2017 e ancora in fase di sviluppo per tutto il 2024, si compone di un APK di installazione e un client di gestione che viene eseguito in modalità headless sul device target, dopo l’installazione. Al momento sono noti vari sample per Android, che hanno subito nel tempo implementazioni e miglioramenti. Tuttavia, il codice sorgente del pannello di Comando e Controllo (C&C) contiene funzioni differenziate per dispositivi iOS, fatto che induce ad ipotizzare anche l’esistenza di versioni per Apple.

Gli analisti sono riusciti a recuperare il manuale d’uso, dove sono presenti il nome EagleMsgSpy e una descrizione generale. Il tool viene presentato come un prodotto completo di monitoraggio giudiziario, capace di ottenere informazioni in tempo reale sui telefoni cellulari dei sospettati tramite il controllo della rete, senza che gli utenti ne siano a conoscenza. Per l’installazione del tool e l’attivazione delle funzioni di sorveglianza sarebbe necessario l’accesso fisico al telefono. La lista delle operazioni consentite e la quantità di dati che possono essere esfiltrati sono ampie:

  • raccolta dei registri delle chiamate, dei contatti degli sms, delle coordinate GPS, dettagli del Wi-Fi e delle connessioni di rete, segnalibri del browser
  • intercettazione dei messaggi in arrivo
  • esfiltrazione di tutti i messaggi da numerosi servizi di messaggistica
  • registrazioni dello schermo tramite il servizio media projection e sottrazione di screenshot
  • registrazioni audio/video
  • compilazione di un elenco di file nella memoria esterna.

Il contesto ricostruito a partire da alcune evidenze tecniche relative a EagleMsgSpy conferma nella sostanza quanto emerso dalle analisi del gruppo Intrusion Truth e dal leak di I-Soon, cioè che la Cina opererebbe in modo strutturato attraverso un complesso ecosistema di entità governative, formazioni APT, front company, vendor, università e centri di formazione e ricerca.

Ad esempio, l’analisi dell’infrastruttura e degli artefatti rinvenuti nelle cartelle accessibili del C&C inducono ad associare il tool alla società Wuhan Chinasoft Token Information Technology. Inoltre, nel manuale utente di amministrazione di EagleMsgSpy, uno screenshot mostra le posizioni dei dispositivi di destinazione (presumibilmente dispositivi di prova) con due serie di coordinate, situate a circa un chilometro e mezzo dalla sede commerciale della compagnia.

L’attribuzione ad organismi governativi sarebbe corroborata dal fatto che i domini del C&C sono sovrapponibili a quelli utilizzati da alcuni Uffici di pubblica sicurezza nella Cina continentale –localizzati nelle Municipalità di Yantai, Guiyang e Dengfeng – i quali agiscono essenzialmente come stazioni di Polizia locali, responsabili dell’ordine sociale e della vigilanza.


Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence