Hacker cinesi all'attacco dai casinò del Sud Est asiatico. L'analisi di SentinelOne

I ricercatori di SentinelOne hanno rilevato un nuovo malware che sta prendendo di mira il settore del gioco d'azzardo a Macao, ex colonia portoghese che a tutti gli effetti può essere considerata la Las Vegas d'Oriente. Macao pullula infatti di casinò, molti dei quali gestiti dalle stesse realtà che controllano il gioco d'azzardo in Nevada e altre città, come Atlantic Ciy. 

Secondo le analisi di SentinelLabs, gli attaccanti - probabilmente di origine cinese - stanno prendendo di mira gli eseguibili di software come Adobe Creative Cloud, Microsoft Edge, e McAfee VirusScan sfruttando tecniche di DLL hijacking per installare beacon di Cobalt Strike.

Gambling sotto attacco nel Sud Est asiatico

Secondo i ricercatori di SentinelLabs, ci sono gruppi legati al governo cinese dietro agli attacchi che stanno prendendo di mira il settore del gioco d'azzardo nella ex colonia portoghese. Nello specifico, il gruppo BRONZE STARLIGHT (noto anche sotto i nomi di DEV-0401 e SLIME34). Si tratterebbe di un team allineato agli interessi del governo della Cina interessato ad azioni di spionaggio, più che a guadagnare dalle operazioni. Questo nonostante BRONZE STARLIGHT utilizzi anche dei ransomware, anche se secondo l'azienda di cybersecurity lo fanno prevalentemente per distrarre l'attenzione dei loro reali obiettivi.

Come sottolineano i ricercatori stessi, però, non è possibile attribuire con certezza gli attacchi a questo gruppo: gli APT cinesi infatti si scambiano speso strumenti e infrastrutture, rendendo difficile attribuire con certezza le operazioni a una specifica entità.

Tutto parte dalle Filippine

Le indagini nascono quando ESET, nel marzo 2023, ha riportato un attacco condotto dal gruppo ChattyGoblin e mirato contro una realtà delle Filippine attiva nel settore del gioco d'azzardo. In questo caso, una versione di Livehelp100 contenente un malware ha scaricato il malware agentupdate_plugins.exe. Obiettivo finale di questo malware era installare un beacon di Cobalt Strike, un noto strumento di sicurezza che viene spesso utilizzato anche dagli attaccanti per prendere il controllo dei sistemi delle vittime.

Estendendo le indagini, gli esperti di SentinelLabs hanno scoperto ulteriori malware che sembravano legati allo stesso team di attaccanti. 

La tecnica è molto efficace: il malware agentupdate_plugins.exe, così come la sua variante AdventureQuest.exe, scaricano da un bucket su Alibaba uno zip protetto da password contenente ulteriori dati. Nello specifico, si tratta di eseguibili di noti programmi (Adobe Creative Cloud, Microsoft Edge e McAfee VirusScan) modificati con un malware che li rende vulnerabili ad attacchi di tipo DLL Hijacking. 

Come già indicato, l'obiettivo non è quello di estorcere denaro tramite ransomware o sabotare i sistemi, ma più probabilmente quello di ottenere maggiori informazioni sulle attività dei casinò cinesi. Va sottolineato che da circa un anno, infatti, il governo cinese sta facendo pressioni su Macao per ripensare l'economia locale, rendendola meno dipendente dal gioco d'azzardo.