Tre ondate di intrusione in pochi mesi contro un'azienda oil and gas in Azerbaijan da parte di un attaccante probabilmente legato alla Cina. In tutti i casi il vettore d’ingresso è stato Microsoft Exchange.
Autore: Redazione SecurityOpenLab
Tre ondate di attacchi in meno di due mesi, tutte entrate dalla stessa porta: un server Microsoft Exchange non aggiornato, vulnerabile a falle note da anni e mai chiuse. È quanto documentato dai Bitdefender Labs in un report che ricostruisce un'operazione di spionaggio contro un'azienda petrolifera e del gas in Azerbaijan. Dietro la campagna c'è FamousSparrow, gruppo APT con molti profili compatibili con l'ecosistema della minaccia cinese.
Prima di questa ricerca, la mappa delle vittime di FamousSparrow includeva settori come telecomunicazioni, governo e tecnologia in Stati Uniti, Asia-Pacifico, Medio Oriente e Sudafrica. Questa campagna è la prima pubblicamente documentata contro infrastrutture energetiche nel Caucaso meridionale.
Le indagini dei ricercatori hanno preso il via il 25 dicembre 2025 con la rilevazione dei primi segnali dell'intrusione: il server Microsoft Exchange dell'azienda vittima viene usato come punto di ingresso per depositare una web shell, ovvero un piccolo programma nascosto che gli attaccanti installano sul server per mantenere un accesso remoto persistente.
Per entrare, FamousSparrow sfrutta due catene di vulnerabilità note di Exchange: ProxyShell e ProxyNotShell, documentate pubblicamente rispettivamente nel 2021 e nel 2022 e per le quali sono disponibili da anni le patch. Quello che rende la campagna notevole non è tanto come gli attaccanti sono entrati in rete, ma quello che hanno fatto dopo e quante volte ci sono tornati. In due mesi, FamousSparrow conduce tre ondate distinte di attività attraverso lo stesso accesso, cambiando ogni volta strumenti che però restano nell’ambito dei Remote Access Trojan: Deed RAT nella prima ondata, Terndoor nella seconda, una variante aggiornata di Deed RAT nella terza.
Ogni volta che la vittima tenta una qualche forma di bonifica, gli attaccanti rientrano dallo stesso punto grazie al fatto che la vulnerabilità originale non è stata chiusa nel frattempo, quindi la capacità degli attaccanti di rientrare non è stata eliminata alla radice.
Sul piano tecnico, l'elemento più rilevante della campagna è l'evoluzione della tecnica con cui Deed RAT viene installato e nascosto, che è la ben nota DLL sideloading: invece di modificare direttamente i file di sistema, gli attaccanti abbinano un programma legittimo a una libreria malevola con lo stesso nome di quella originale. Quando il programma legittimo si avvia, carica automaticamente la libreria contaminata.
In questo caso il programma usato come copertura era LogMeIn Hamachi, un software VPN lecito che è stato configurato per avviarsi automaticamente insieme al sistema operativo. Come ulteriore livello di evasione, la libreria malevola non si attiva nel momento in cui viene caricata, ma resta dormiente fino a quando l'applicazione legittima non completa il proprio percorso di avvio naturale. A quel punto Hamachi esegue una specifica sequenza di operazioni interne che sbloccano il malware.
Il risultato pratico è che la stragrande maggioranza delle sandbox non rileva anomalie, dato che senza la sequenza attesa di chiamate il payload non si attiva. È sufficiente che l'esecuzione sia parziale o fuori contesto perché il malware rimanga silenzioso.
Anche il payload di Deed RAT è protetto da più strati di cifratura: il file che lo contiene è cifrato con AES-128, uno standard crittografico robusto comunemente usato anche in applicazioni legittime. Le API di Windows necessarie all'esecuzione vengono risolte a runtime tramite un sistema di hash, in modo che un'analisi statica del codice non riveli quali funzioni di sistema il malware intende richiamare.
La scelta del bersaglio non è casuale. A fine 2024 è scaduto l'accordo russo per il transito del gas attraverso l'Ucraina, e nei primi mesi del 2026 le interruzioni nello Stretto di Hormuz hanno ridotto le forniture alternative. In questo contesto l'Azerbaijan ha consolidato rapidamente il proprio ruolo di fornitore strategico per l'Europa: le esportazioni di gas sono cresciute del 56% dal 2021, le forniture raggiungono oggi 13 Paesi europei tra cui Germania e Austria, e il Paese si è affermato come uno degli assi portanti della sicurezza energetica continentale proprio nel periodo in cui l'intrusione era attiva.
I dati disponibili permettono di stabilire che il settore e il Paese della vittima hanno acquisito una rilevanza strategica crescente, e che per la prima volta un gruppo riconducibile alla Cina svolge in attività contro l'industria energetica azera.