FOCUS ON

UNC3886 e il cyberspionaggio mirato sulle aziende

20 Marzo 2025
UNC3886 TS-Way cover

L’avversario tracciato con la sigla UNC3886 è un gruppo state-sponsored di matrice cinese che svolge attività di cyberspionaggio mirate soprattutto contro organizzazioni statunitensi ed asiatiche dei settori della Difesa, tecnologico e delle telecomunicazioni.

L’elemento caratterizzante di questo APT – che si è andato affermando come una realtà non sovrapponibile ad altri avversari, come Volt Typhoon o Salt Typhoon – è lo sfruttamento di vulnerabilità zero-day che impattano soluzioni software adottate a livello aziendale e la distribuzione di malware custom, per l’elusione della detection, il furto di credenziali e l’accesso a lungo termine negli ambienti delle vittime.

Le prime analisi indicavano UNC3886 come il responsabile di una campagna che ha sfruttato vSphere Installation Bundles (VIB) malevoli per installare delle backdoor su un hypervisor VMware ESXi.

All’epoca della scoperta di questa campagna, fine settembre 2022, gli analisti non erano riusciti a raccogliere prove di un eventuale sfruttamento di vulnerabilità 0-day per la distribuzione del malware. Ci sono voluti quasi nove mesi di ulteriori ricerche per stabilire che UNC3886 aveva effettivamente sfruttato la 0-day CVE-2023-20867, una Authentication Bypass di VMware, e che quell’exploit era presente nel suo arsenale almeno dalla fine del 2021.

A marzo 2023 è stato rilevato un attacco basato su una 0-day di Fortinet. In questo secondo caso, UNC3886, dopo aver ottenuto l’accesso ai sistemi, ha sfruttato una a Local Directory Traversal (CVE-2022-41328) per installare malware che gli assicurasse la persistenza al loro interno.

Il trait d’union fra le due operazioni, hanno fatto notare gli analisti, è il passaggio degli attaccanti attraverso tecnologie che non supportano soluzioni di rilevamento e risposta degli endpoint (EDR) come firewall, IoT, hypervisor e VPN.

Perfettamente in linea con queste considerazioni, è l’ipotesi che UNC3886 sia stato uno dei molti avversari che hanno sfruttato la 0-day di Ivanti CVE-2024-21893 per distribuire i propri malware custom insieme a nuovi implant. La falla, il cui sfruttamento è stato segnalato a partire da febbraio 2024, è una Server-Side Request Forgery (SSRF) delle VPN Connect Secure e della soluzione di network access control (NAC) Policy Secure.

Una parziale ricostruzione dell’arsenale di UNC3886 è stata fatta a giugno dell’anno scorso. Nel dettaglio, vi comparivano exploit per le 0-day CVE-2023-34048 e CVE-2022-22948 di VMware vCenter, CVE-2022-41328 di Fortinet FortiOS,  CVE-2023-20867 di VMware Tools e CVE-2022-42475 di Fortinet FortiOS. Inoltre, venivano elencati rootkit disponibili pubblicamente per garantire la persistenza a lungo termine (Reptile e MEDUSA), malware che sfruttano servizi di terze parti legittimi per le attività di Comando e Controllo, backdoor Secure Shell (SSH) per la raccolta di credenziali e altro malware custom per l’estrazione di credenziali dal protocollo di autenticazione Terminal Access Controller Access-Control System Plus (TACACS+).

In quell’analisi si faceva riferimento a intrusioni contro organizzazioni localizzate soprattutto in Nord America, Sudest asiatico e Oceania, ma anche in Europa, Africa e altre parti dell’Asia. I settori presi di mira comprendevano quello governativo, delle telecomunicazioni, tecnologico, aerospaziale, della Difesa, energetico e delle utility.

Ad arricchire un quadro che si è rivelato col tempo costante nei suoi fondamentali, la rivelazione di questi giorni riguardo a un’operazione di UNC3886 tracciata a metà 2024. L’APT cinese ha distribuito backdoor custom su router Juniper MX che utilizzavano hardware e software a fine vita (EoL).

Fra le TTP impiegate, un ecosistema malware simile a quelli già descritti e l’exploit per la vulnerabilità CVE-2025-21590 di Junos OS, una Improper Isolation or Compartmentalization che consente a un utente locale con privilegi elevati di compromettere l’integrità del dispositivo.

In particolare, gli analisti sottolineano l’abilità di UNC3886 nello studiare il funzionamento dei diversi dispositivi per creare varianti del proprio malware capaci di aggirare le protezioni integrate. Inoltre, si segnala la tendenza di questo e altri avversari ad estendere le offensive verso infrastrutture di rete interne, come i router degli Internet Service Provider (ISP) – e, più in generale, ai dispositivi di routing – tattica che assicurerebbe un accesso persistente di alto livello, con un temibile incremento del potenziale di pericolosità degli attacchi.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence