DeafNews
// 1 CRITICAL · 2 ZERO-DAY · 4 CVE · 3 EXPLOIT NELLE ULTIME 24H
Cybersecurity

CL-STA-1062: da hosting taiwanese a centrali elettriche con backdoor TinyRCT

Published: Updated: By DeafSuite team 8 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Unit 42 rivela escalation di CL-STA-1062: dal web hosting a infrastrutture energetiche statali nel Sud-est asiatico con backdoor .NET custom.

Il 25 giugno 2026 Unit 42 di Palo Alto Networks ha pubblicato un report tecnico che ricostruisce l'evoluzione di CL-STA-1062, threat actor di lingua cinese attivo dal marzo 2022. Il gruppo, valutato con alta confidenza come sovrapposto al cluster UAT-7237 tracciato da Cisco Talos per campagne contro web hosting a Taiwan, ha spostato il proprio mirino su entità governative e infrastrutture energetiche critiche statali nel Sud-est asiatico nel corso del 2025. La novità tecnica è TinyRCT: un backdoor/RAT in C#/.NET precedentemente non documentato, progettato per l'occultamento prolungato e la riduzione delle tracce forensi.

Punti chiave
  • CL-STA-1062 è attivo dal marzo 2022; Unit 42 lo collega con alta confidenza a UAT-7237, cluster Cisco Talos segnalato per attacchi a web hosting taiwanese nel mid-2025.
  • Tra ottobre e dicembre 2025, almeno 10 organizzazioni nel Sud-est asiatico sono state probabilmente compromesse; almeno due entità statali di energia nello stesso paese.
  • TinyRCT implementa AppDomainManager injection via DLL malevola, beacon HTTP ogni 10 secondi con cifratura AES-128-CBC, e auto-cancellazione condizionata.
  • Il toolkit ibrida strumenti open-source (SoftEther VPN, Mimikatz, JuicyPotato) con malware su misura, segnalando maturazione tecnica e investimento in sviluppo proprietario.

L'escalation dal web hosting alle infrastrutture critiche

La ricostruzione di Unit 42 traccia un percorso operativo definito. Fino alla metà del 2025, l'attività attribuita a CL-STA-1062 — o al cluster sovrapposto UAT-7237 — si concentrava su infrastrutture di web hosting a Taiwan. Nel secondo semestre del 2025 il gruppo ha rifocalizzato le operazioni.

A settembre 2025, Unit 42 ha rilevato il compromesso di un'entità governativa nel Sud-est asiatico: deployment di web shell, esfiltrazione di dati da server Microsoft SQL, e ricognizione di rete estesa a un'altra entità governativa dello stesso paese. In un caso, gli attaccanti hanno preparato e sottratto un'intera directory di codice sorgente del server web. Tra ottobre e dicembre 2025, l'osservazione di almeno 10 organizzazioni probabilmente compromesse nel medesimo arco geografico completa il quadro di un'operazione sistematica.

Il passaggio alle infrastrutture critiche energetiche è documentato da almeno due entità statali di energia compromesse nello stesso paese non nominato. Il dossier non specifica il vettore di accesso iniziale per queste intrusioni energetiche, né identifica il paese bersaglio per nome.

TinyRCT: anatomia di un backdoor su misura

TinyRCT rappresenta il nucleo tecnico dell'evoluzione del gruppo. Scoperto come PerfWatson2.exe su server controllato dall'attaccante, è un binario .NET che implementa una catena di distribuzione articolata. Il vettore di ingresso passa attraverso un archivio chrome_setup.zip: al suo interno, un eseguibile legittimo chrome_setup.exe carica una DLL malevola MyAppDomainManager.dll mediante AppDomainManager injection, tecnica che sfrutta la configurazione .NET per eseguire codice in un processo fidato.

La DLL loader contatta l'indirizzo IP 139.180.134[.]221 per scaricare il payload principale. Una volta attivo, TinyRCT esegue una validazione ambientale rigida: termina immediatamente se non risiede in %LOCALAPPDATA%. Questo meccanismo riduce l'esposizione in ambienti di analisi automatizzata.

Il canale di comando e controllo è ospitato su 45.32.113[.]172. La comunicazione avviene via HTTP standard: polling delle istruzioni con GET, esfiltrazione dati con POST. Il traffico è cifrato con AES-128-CBC; la chiave ThisIsASecretKey87654321 e un vettore di inizializzazione nullo sono hardcoded nel binario — una scelta che semplifica la decodifica forense ma che, nel contesto operativo, ha reso il malware funzionalmente efficace. L'intervallo di beaconing default è di 10 secondi.

Le capacità documentate includono: esecuzione shell, enumerazione file, esfiltrazione file, cattura screenshot, gestione remota e auto-cancellazione. La raccolta di sistema riguarda username, machine name, versione OS, IP locali, percorso di esecuzione, PID e GUID random.

"From a technical standpoint, the attackers behind CL-STA-1062 rely on a hybrid toolkit. While they frequently use common open-source tools such as SoftEther VPN, Mimikatz, and VNT, they have recently introduced TinyRCT, a bespoke, previously undocumented backdoor." — Unit 42 (Palo Alto Networks)

Commenti in cinese semplificato e impronta linguistica

Un elemento di attribuzione indiretta risiede nei metadati del binario. CyberSecurityNews ha riportato la presenza di un commento in cinese semplificato all'interno del codice di TinyRCT. Questa evidenza, combinata con il targeting geopolitico e la sovrapposizione infrastrutturale con UAT-7237, alimenta la valutazione di Unit 42 sull'origine linguistica del gruppo. Non emergono sovrapposizioni infrastrutturali che colleghino CL-STA-1062 a specifici apparati statali cinesi allo stato attuale: l'attribuzione resta su "Chinese-speaking", non su entità governativa nominata.

Toolkit ibrido e pragmatismo operativo

Oltre a TinyRCT, il gruppo ha impiegato una costellazione di strumenti open-source riadattati. SoftEther VPN, Mimikatz e VNT sono stati riscontrati in più intrusioni, spesso mascherati da eseguibili VMware o agent XDR per confondere l'analisi comportamentale. Per privilege escalation è stato utilizzato JuicyPotato. Lo staging e l'esfiltrazione hanno fatto leva su archivi RAR protetti da password.

Questa combinazione riflette un approccio pragmatico: strumenti pubblici per la fase iniziale e il movimento laterale, malware proprietario per la persistenza e l'occultamento. L'investimento in TinyRCT — con la sua logica anti-analisi, il beaconing regolare e la capacità di autodistruzione — segnala una maturazione tecnica rispetto alle operazioni più opportunistiche documentate nel 2024.

Cosa fare adesso

  • Controllo esecuzione da percorsi non standard: monitorare l'esecuzione di binari .NET da %LOCALAPPDATA% o altre directory utente, con particolare attenzione a processi che caricano DLL con nomi come MyAppDomainManager.dll.
  • Analisi traffico beacon HTTP regolari: identificare pattern di comunicazione a intervalli fissi (circa 10 secondi) verso IP estranei al perimetro autorizzato, con alternanza GET/POST e payload di dimensioni consistenti.
  • Ricerca IoC nella rete: verificare la presenza dei hash SHA256 documentati, degli IP 45.32.113[.]172 e 139.180.134[.]221, e delle URL defanged associate alla campagna.
  • Ispezione web shell ASPX: effettuare scan periodici su server IIS e applicazioni web esposte, data la preferenza del gruppo per il deployment di web shell come mezzo di accesso persistente.

La lettura: un actor che abbandona l'opportunismo

Il caso CL-STA-1062 non è la scoperta di un nuovo aggressore, ma la documentazione di un actor noto che ha scalato le proprie ambizioni. Dal web hosting a Taiwan alle centrali elettriche di uno stato del Sud-est asiatico, il percorso indica una ridefinizione del mandato operativo — o dell'assegnazione del mandato. TinyRCT non è un malware riciclato: è sviluppo proprietario, con logiche di occultamento che tradiscono esperienza nel contesto difensivo occidentale. La domanda che il report di Unit 42 lascia aperta, e che le redazioni di threat intelligence dovranno affrontare, è se questa escalation rappresenti un riposizionamento individuale del gruppo o l'indicatore di una più ampia ridefinizione delle priorità di raccolta informazioni nella regione.

Domande frequenti

TinyRCT sfrutta una vulnerabilità zero-day?
No. TinyRCT è un malware custom, non un exploit di vulnerabilità. Il vettore di iniziale accesso non è specificato nel dossier per le intrusioni energetiche; per altre campagne è documentato l'uso di web shell.

Perché il backdoor si auto-cancella?
L'auto-cancellazione è una funzione documentata che riduce la superficie forense disponibile agli analisti dopo il deployment, aumentando la probabilità di occultamento a lungo termine.

Il paese bersaglio è stato identificato?
Le fonti usano la formula "unnamed Southeast Asian country". Il dossier non nomina esplicitamente lo stato o gli stati interessati.

Altri contenuti collegati

  • Gaslight: malware macOS inganna gli analizzatori AI con prompt injection
  • ClickFix macOS: quando l'utente bypassa da solo Gatekeeper
  • OXLOADER: Google Ads malevoli congiano infostealer

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. thehackernews.com
  2. unit42.paloaltonetworks.com
  3. cybersecuritynews.com
  4. infosecurity-magazine.com
  5. gbhackers.com