UNC6384 è un gruppo APT legato a campagne di spionaggio mirate. Colpisce ambienti diplomatici e istituzioni strategiche con tecniche avanzate di intrusione e persistenza.

Che cos’è PlugX (SOGU.SEC)?

PlugX è una backdoor modulare che consente controllo remoto, esfiltrazione dati, keylogging e caricamento di plugin aggiuntivi. È spesso distribuita tramite side-loading di DLL e binari firmati.

Cosa significa hijack di un portale captivo?

L’hijack del portale captivo intercetta il traffico generato durante l’autenticazione su reti Wi-Fi che richiedono login via browser. L’utente viene reindirizzato verso pagine controllate dall’attaccante per avviare il download del malware.

Come avviene la catena d’attacco tipica?

Fase 1: reindirizzamento su portale malevolo; Fase 2: download di un downloader apparentemente legittimo; Fase 3: side-loading di DLL tramite software legittimi; Fase 4: attivazione della backdoor PlugX e persistenza.

Perché questi attacchi sono difficili da rilevare?

Usano binari firmati, DLL side-loading e traffico che imita quello legittimo dei portali captivi. Senza contesto e telemetria avanzata, gli alert possono sembrare normali attività di rete.

Quali segnali di compromissione dovrei cercare?

Esecuzione anomala di tool legittimi (es. assistenti stampanti) con DLL non attese, connessioni in uscita verso domini rari, creazione di servizi/persistenza insolita, raccolta e compressione di file prima di upload.

Quali misure di difesa sono prioritarie?

Aggiornamenti costanti, MFA sugli accessi, EDR con blocco del side-loading, DNS/HTTP filtering, segmentazione di rete, hardening degli host e policy per l’uso di Wi-Fi pubblici e portali captivi.

Come ridurre i falsi positivi in ambienti con SIEM?

Arricchisci le regole con contesto (ruoli, orari, geolocalizzazione), integra UEBA per i pattern comportamentali e automatizza le triage ripetitive con playbook SOAR.

Cosa fare se sospetto un’infezione PlugX?

Isola il dispositivo dalla rete, acquisisci memoria e disco, blocca gli IoC noti, ruota le credenziali, verifica i movimenti laterali, ripristina da backup sicuri e conduci una revisione completa della postura di sicurezza.

Chi è maggiormente a rischio?

Organizzazioni diplomatiche e governative, aziende strategiche e chiunque operi spesso su reti Wi-Fi con portali captivi (es. aeroporti, hotel, sedi conferenze) senza adeguati controlli.

Il gruppo di minaccia noto come UNC6384, legato alla Repubblica Popolare Cinese, ha recentemente lanciato una campagna di cyber-spionaggio sofisticata. L’attacco prende di mira in particolare i diplomatici e le istituzioni strategiche, sfruttando tecniche avanzate come l’hijack dei portali captivi per distribuire il malware PlugX – anche chiamato SOGU.SEC.

Questa campagna mette in evidenza come gli attaccanti evolvano continuamente le proprie tattiche, combinando ingegneria sociale, certificati digitali validi e tecniche di “adversary-in-the-middle” per superare le difese di reti apparentemente sicure.

Attacchi UNC6384: PlugX tramite Hijack dei Portali Captivi per diplomatici

Come funziona l’attacco

Il metodo sfruttato da UNC6384 si basa su una catena di attacco multi-fase:

Hijack del captive portal – quando un utente si connette a una rete con autenticazione tramite portale, il traffico viene intercettato e reindirizzato verso un sito controllato dall’attaccante.
Download iniziale – la vittima scarica un eseguibile apparentemente legittimo, spesso firmato digitalmente, che funge da downloader.
Caricamento di moduli malevoli – il downloader installa pacchetti aggiuntivi (MSI o DLL), sfruttando la tecnica del DLL side-loading tramite software legittimi, ad esempio tool di gestione stampanti.
Attivazione del payload – viene eseguito PlugX, un potente trojan di accesso remoto che permette all’attaccante di controllare il sistema compromesso.

Perché PlugX è così pericoloso

PlugX non è un malware nuovo, ma resta uno degli strumenti preferiti dai gruppi APT di origine cinese. Le sue capacità lo rendono molto versatile:

Esecuzione comandi remoti → consente agli attaccanti di gestire la macchina della vittima come se fosse la propria.
Esfiltrazione dati → permette di copiare e trasferire file sensibili fuori dalla rete aziendale.
Keylogging → registra ciò che viene digitato sulla tastiera, incluse password e dati riservati.
Caricamento moduli aggiuntivi → il malware può essere esteso con plugin personalizzati per scopi specifici.

Ciò che rende questa campagna particolarmente insidiosa è la combinazione di codice firmato con certificati validi e l’uso di software legittimi per caricare il malware, rendendo più difficile per i sistemi di difesa distinguerlo da programmi affidabili.

Obiettivi degli attacchi

Gli obiettivi principali individuati finora sono stati:

Diplomatici in Paesi strategici del Sud-Est asiatico.
Istituzioni governative di alto livello.
Reti aziendali sensibili, soprattutto in settori strategici.

Questa scelta di target conferma che l’operazione è orientata più allo spionaggio che al guadagno economico diretto.

Come difendersi da questa minaccia

Le aziende e le organizzazioni che gestiscono informazioni sensibili devono adottare contromisure specifiche per ridurre il rischio:

Aggiornamenti costanti → mantenere aggiornati sistemi operativi, browser e software.
Autenticazione a più fattori → riduce la possibilità di compromissione degli account.
Controllo dei certificati digitali → verificare sempre la validità e l’origine dei certificati usati dagli eseguibili.
Segmentazione della rete → per limitare i movimenti laterali in caso di compromissione.
Monitoraggio avanzato → integrare analisi comportamentali (UEBA) e soluzioni EDR per individuare anomalie in tempo reale.
Formazione degli utenti → sensibilizzare il personale sui rischi legati a reti Wi-Fi pubbliche e portali captivi.

Il futuro delle minacce simili

La campagna UNC6384 è solo l’ennesima dimostrazione che i portali captivi e altri punti deboli nelle infrastrutture di rete possono diventare vettori privilegiati per gli attacchi.
Nel prossimo futuro è probabile che vedremo sempre più spesso combinazioni di:

Adversary-in-the-Middle (AitM) → intercettazione e manipolazione del traffico.
Side-loading di DLL → sfruttando software legittimi per caricare codice malevolo.
Certificati autentici → che rendono difficile distinguere un malware da un programma reale.
Attacchi mirati contro target diplomatici e governativi → per obiettivi di spionaggio e geopolitici.

Attacchi UNC6384: PlugX tramite Hijack dei Portali Captivi: Conclusione

Gli attacchi condotti da UNC6384 mostrano come i gruppi APT stiano diventando sempre più creativi e difficili da individuare. Il malware PlugX, diffuso tramite l’hijack dei portali captivi, dimostra che anche meccanismi apparentemente innocui possono trasformarsi in strumenti pericolosi nelle mani degli attaccanti.

Per difendersi non basta più un SIEM con regole statiche: servono strumenti avanzati di detection, aggiornamenti continui e una cultura della sicurezza diffusa in tutta l’organizzazione.

La lezione è chiara: la sicurezza informatica non è mai statica, e le difese devono evolvere alla stessa velocità degli attaccanti.

Leggi anche: Sicurezza Informatica

Leggi anche: Cybercrime

✅ Questo contenuto è stato ottimizzato secondo i principi EEAT (Esperienza, Competenza, Autorevolezza, Affidabilità).