TA415 è il sofisticato threat actor cinese ideatore di una campagna di spear phishing contro target USA che non fa uso di malware. Ecco tecniche e tattiche messe in campo.
Autore: Redazione SecurityOpenLab
Fra luglio e agosto 2025 i ricercatori di Proofpoint hanno scoperto e monitorato una serie di campagne di spear phishing attribuite al gruppo TA415, notoriamente affiliato all’apparato di intelligence dello Stato cinese. L’obiettivo principale era colpire organizzazioni governative statunitensi e realtà accademiche, tramite email che facevano leva sulla delicata tematica delle relazioni economiche tra Stati Uniti e Cina.
TA415, già noto per la varietà e la raffinatezza delle proprie tecniche di attacco, in questo caso ha impersonato il presidente in carica del Select Committee on the Strategic Competition Between the United States and the Chinese Communist Party e di alcuni funzionari dello US-China Business Council. Le potenziali vittime sono state selezionate con la massima precisione: solo persone ed enti la cui attività orbita attorno alle dinamiche politiche, commerciali e diplomatiche legate alle due superpotenze in questione.
Tecnicamente sono notevoli gli sforzi messi in atto per eludere i controlli di sicurezza. Le email non hanno fatto ricorsi ai soliti malware, troppo semplici da individuare a bloccare: gli attaccanti hanno optato per lo sfruttamento della funzione Remote Tunnel di Visual Studio Code per stabilire un accesso remoto persistente. Di particolare rilievo è anche la scelta tecnica di non usare server di comando e controllo palesemente malevoli o riconducibili a infrastrutture sospette: gli attaccanti hanno preferito gestire le comunicazioni tra i sistemi compromessi e i loro operatori abusando di strumenti e servizi cloud popolari e generalmente autorizzati nelle aziende, come Google Sheets, Google Calendar e la funzionalità VS Code Remote Tunnels.
Gli esperti di Proofpoint sono risaliti alla finalità principale degli attacchi: la raccolta di informazioni sensibili sull’andamento e sulle prospettive delle trattative economiche tra Stati Uniti e Cina.
La disamina tecnica dell’attacco proposta da Proofpoint rivela diversi dettagli interessanti. Partiamo con l’oggetto e il contenuto esca delle email: inviti a briefing riservati fra USA e Taiwan o richieste di feedback su presunte bozze di normative sanzionatorie contro la Cina. Come accennato sopra, i cyber criminali hanno imitato l’identità di personaggi pubblici sfruttando l’ingegneria sociale e le informazioni di dominio pubblico presenti, fra le altre cose, sui social. Inoltre, le email erano personalizzate e presentavano una cura elevata per i dettagli.
Nel corpo delle email era spesso presente un link a file protetti da password e caricati su servizi cloud legittimi (Zoho WorkDrive, Dropbox, OpenDrive). L’analisi degli header delle mail ha rivelato un sistematico impiego del servizio VPN Cloudflare WARP per l’invio dei messaggi, per nascondono l’indirizzo IP e la posizione geografica effettiva dei server o dispositivi di provenienza. Inoltre, così facendo le email risultano provenire da nodi affidabili. Lo schema di infezione si compone di passaggi minuziosamente studiati per eludere l’analisi forense e il rilevamento automatizzato. Il file compresso (RAR, ZIP, 7z) che si scaricava dal link nella email conteneva un file LNK di tipo Microsoft Shortcut e altri contenuti all’interno di una cartella nascosta denominata MACOS. Il compito di LNK era eseguire uno script batch archiviato nella cartella nascosta e mostrare all’utente un finto PDF corrotto, in modo da distrarre l’attenzione dalla reale attività in corso.
Il cuore dell’attacco era infatti rappresentato dal loader Python WhirlCoil, incluso in una distribuzione Python incorporata nell’archivio di cui sopra. Una volta attivato, WhirlCoil scaricava la Command Line Interface di Visual Studio Code da fonti Microsoft legittime, la estraeva nella directory %LOCALAPPDATA%\Microsoft\VSCode e verificava la presenza di privilegi amministrativi sul sistema.
Per garantire la persistenza, lo script creava un processo schedulato (soprannominato GoogleUpdate, GoogleUpdated o MicrosoftHealthcareMonitorNode) che riavviava il loader ogni due ore. Il passaggio critico è l’avvio del comando code.exe tunnel user login --provider github --name <COMPUTERNAME>, usato dai cybercriminali per aprire una backdoor sul computer vittima tramite una funzione legittima di Visual Studio Code. Per attivare questa porta, normalmente bisogna autenticarsi tramite GitHub e inserire un codice, ma il malware intercetta questo codice e lo invia ai criminali. Per chiarire: è come se un ladro facesse installare sulla porta di casa una serratura intelligente, ricevesse in automatico il codice di accesso, e potesse entrare ogni volta che vuole senza bisogno di scassinare nulla, e senza che i proprietari di casa se ne accorgano.
Contestualmente, WhirlCoil raccoglie dettagli sul sistema (la versione Windows, il nome del computer, lo username dell’utente, il dominio, eccetera) ed esegue una scansione estesa dei principali percorsi utente. Tutti i dati così collezionati vengono trasmessi verso un servizio di logging pubblico gratuito tramite una richiesta POST.
Morale: l’attaccante ottiene tutto ciò che gli occorre per autenticare la sessione remota, acquisire accesso diretto al file system ed eseguire comandi da remoto, senza bisogno di un malware ad hoc né di payload rilevabili.