DeafNews
// 2 CRITICAL · 2 ZERO-DAY · 3 CVE · 3 EXPLOIT NELLE ULTIME 24H
News CRITICAL

APT cinesi: Ghost NICs, GRIMBOLT e BPFdoor evoluto nelle reti critiche

Published: Updated: By DeafSuite team 7 min read News
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Mandiant, Palo Alto Unit 42 e Rapid7 documentano convergenza tattica di malware cinese per persistenza a lungo termine in telecom, militari e appliance VMware/Dell.
APT cinesi: Ghost NICs, GRIMBOLT e BPFdoor evoluto nelle reti critiche

Il 18 febbraio 2026 Mandiant/Google GTIG, Palo Alto Networks Unit 42 e Rapid7 hanno pubblicato analisi convergenti su malware e backdoor cinesi progettati per persistenza a lungo termine. Le tre rilevazioni non dimostrano un'unica operazione coordinata, ma documentano una convergenza tattica verso persistenza di lungo termine in infrastrutture critiche. I target includono backbone telecomunicativi, reti militari del Sud-Est asiatico e appliance edge VMware/Dell. Le tecniche documentate spaziano dalla compilazione runtime in machine code a schede di rete virtuali nascoste e filtraggio pacchetti a livello kernel.

Punti chiave
  • UNC6201 ha sfruttato una zero-day in Dell RecoverPoint dal 2024; il vettore di accesso iniziale non è determinato con certezza. GRIMBOLT si compila in machine code prima dell'esecuzione per eludere l'analisi statica.
  • Mandiant ha documentato "Ghost NICs" — schede di rete virtuali nascoste in ambienti VMware — e l'uso di iptables per Single Packet Authorization come canali di pivoting stealth.
  • CL-STA-1087 ha distribuito AppleChris e MemFun in reti militari: il primo con C2 a risoluzione dinamica, il secondo modulare in-memory con reflective DLL loading via loader camuffato da "GoogleUpdate.exe".
  • Rapid7 ha rilevato varianti evolute di BPFdoor con trigger nascosto al 26° byte offset di traffico HTTPS legittimo, combinando filtraggio kernel-level e segnali di controllo ICMP.
  • Attribuzione definitiva a gruppo APT specifico non è confermata per il cluster telecom di Rapid7; esistono "notable overlaps" tra UNC6201 e UNC5221 ma non identità verificata.

GRIMBOLT e l'architettura della compilazione runtime

La rivelazione di Mandiant riguarda il cluster UNC6201, attivo con nesso sospettato verso la RPC cinese, che ha sfruttato una vulnerabilità zero-day in appliance Dell RecoverPoint fin dal 2024. Il vettore di accesso iniziale non è determinato con certezza. L'exploitation ha consentito il deploy di GRIMBOLT, backdoor la cui architettura sfida i presupposti dell'analisi statica automatizzata.

GRIMBOLT non viene distribuito come eseguibile precompilato: il codice viene trasformato direttamente in machine code immediatamente prima dell'esecuzione. Questo meccanismo, documentato nella rilevazione di Mandiant, riduce la superficie di rilevazione da parte degli engine di analisi statica che operano su file compilati standard e ottimizza l'esecuzione su dispositivi con risorse limitate — una caratteristica rilevante per il targeting di appliance edge.

La stabilizzazione della persistenza avviene attraverso tecniche documentate con precisione tecnica. Gli operatori hanno creato "Ghost NICs", schede di rete virtuali nascoste all'interno dell'infrastruttura VMware, per pivoting di rete che non genera allarmi sui controlli di topology standard. Hanno inoltre implementato Single Packet Authorization tramite iptables: pacchetti singoli, autenticati crittograficamente, che aprono porte di comunicazione solo al momento della trasmissione valida, rendendo il canale C2 indistinguibile da rumore di rete per i sistemi di monitoraggio basati su volume o pattern.

"Beyond the Dell appliance exploitation, Mandiant observed the actor employing novel tactics to pivot into VMware virtual infrastructure, including the creation of 'Ghost NICs' [i.e., Network Interface Cards] for stealthy network pivoting and the use of iptables for Single Packet Authorization (SPA)" — Mandiant/Google GTIG researchers

AppleChris e MemFun: la persistenza in-memory in reti militari

Palo Alto Networks Unit 42 ha documentato l'attività del gruppo CL-STA-1087, APT cinese attivo in reti militari del Sud-Est asiatico, con il deploy di due backdoor progettate per resistenza prolungata. AppleChris stabilisce e mantiene l'accesso covert su sistemi Windows compromessi, comunicando con l'infrastruttura C2 attraverso tecniche di risoluzione dinamica che rendono il blocking dei domini inefficace: il server di comando cambia indirizzo in risposta a query DNS controllate dall'operatore.

Le capacità documentate di AppleChris includono esecuzione remota di comandi, enumerazione file e monitoraggio persistente del sistema compromesso. MemFun, backdoor modulare complementare, opera interamente in memoria: utilizza reflective DLL loading per caricare moduli funzionali senza scrivere artefatti su disco, con un loader camuffato sotto il nome "GoogleUpdate.exe" che sfrutta la legittimità semantica del file per evitare flagging euristico.

Unit 42 ha identificato inoltre Getpass, strumento di credential harvesting. La fonte non specifica se si tratti di una variante modificata di Mimikatz ottimizzata per estrazione automatizzata da lsass.exe, né dettagli ulteriori sulla sua architettura interna.

BPFdoor evoluto: trigger nascosto nel traffico HTTPS

Rapid7 ha rilevato varianti evolute di BPFdoor, backdoor noto dal 2021, in infrastrutture backbone telecomunicative. Le nuove varianti implementano un meccanismo di attivazione particolarmente sofisticato: gli attaccanti paddingano le richieste HTTPS in modo che un marker specifico atterri esattamente al 26° byte offset della struttura dati ispezionata dal filtro kernel. Questa precisione permette di nascondere il trigger all'interno di flussi crittografati apparentemente legittimi, che attraversano firewall e proxy senza anomalie riconoscibili a livello applicativo.

Le capacità documentate delle varianti rilevate includono: trigger in HTTPS, delivery di comandi proxy-aware, segnali di controllo ICMP e filtraggio pacchetti a livello kernel tramite Berkeley Packet Filter. Rapid7 ha descritto esplicitamente l'architettura risultante come "persistent access layer designed not simply to breach networks, but to inhabit them".

Attribuzione definitiva a gruppo APT specifico non è confermata per il cluster telecom di Rapid7. La fonte non specifica relazioni operative tra questo cluster e UNC6201 o CL-STA-1087.

Cosa fare adesso

Le rilevazioni convergenti impongono azioni specifiche sui tre fronti documentati. Per le appliance Dell RecoverPoint, la fonte non specifica patch disponibili per la zero-day CVE-2026-22769; le organizzazioni con questi asset devono verificare direttamente con il vendor lo stato di remediation.

Per gli ambienti VMware, la detection delle "Ghost NICs" richiede audit di configurazione di rete che confrontino le interfacce virtuali attive con l'inventario autorizzato, piuttosto che affidarsi a controlli di topology automatici. Il monitoraggio di iptables su appliance edge deve includere regole non documentate che gestiscano SPA.

Per le reti Windows, la presenza di loader con nomi semanticamente legittimi come "GoogleUpdate.exe" impone la verifica di firme digitali e percorsi di esecuzione, non solo del nome file. La detection di MemFun richiede monitoraggio behavioral in-memory, dato l'assenza di artefatti su disco.

Per il traffico HTTPS in backbone telecom, la detection del trigger BPFdoor al 26° byte offset richiede ispezione di strutture dati kernel-level, non analisi di contenuto applicativo: i flussi appaiono legittimi a livello TLS.

Limiti della detection e convergenza tattica

Le tre rilevazioni condividono un pattern comune: lo spostamento della persistenza al di sotto del livello di detection convenzionale. GRIMBOLT elude l'analisi statica eliminando la fase di compilazione tradizionale. Ghost NICs e SPA operano sotto il livello di monitoraggio di rete standard. MemFun elimina artefatti su disco. BPFdoor nasconde il trigger in strutture dati kernel ispezionate prima della decrittazione TLS.

Questa convergenza non prova un'unica operazione coordinata, ma documenta che gruppi APT distinti con nesso cinese hanno raggiunto soluzioni tecniche analoghe per lo stesso problema operativo: mantenere accesso persistente in reti dove gli EDR convenzionali non sono deployabili o sono evadibili. La fonte non specifica se GRIMBOLT sostituisca BRICKSTORM per ciclo di vita pre-pianificato o come reazione all'incident response.

La scala geografica esatta delle compromissioni militari CL-STA-1087 non è quantificata nelle fonti. Relazione esatta tra UNC6201 e UNC5221/Silk Typhoon: "notable overlaps" ma non identità confermata.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Altri contenuti collegati

Fonti

Fonti e riferimenti
  1. helpnetsecurity.com
  2. cybermagazine.com
  3. securityweek.com
  4. thehackernews.com