Con la sigla APT (Advanced Persistent Threat, ossia minaccia avanzata e persistente), si indicano cyber criminali con elevate competenze tecniche e grandi risorse umane e finanziarie, in grado di effettuare attacchi su larga scala e per periodi di tempo prolungati.
Come riporta Threat post, proprio uno di questi gruppi ha preso di mira gli hotel di lusso di Macao, in Cina, con una campagna di spear phishing mirata a violare le loro reti e rubare i dati di ospiti di alto profilo delle strutture, che includono il Grand Coloane Resort e il Wynn Palace.
Una ricerca di Trellix suggerisce che si tratti del sud coreano DarkHotel, di cui abbiamo già parlato su Securityinfo. Gli attacchi, iniziati alla fine dello scorso novembre, consistevano di e-mail con allegate macro Excel malevole inviate ai manager delle reti di hotel.
Una di esse fingeva di essere inviata dall’ufficio governativo del turismo di Macao e chiedeva informazioni sugli ospiti presenti all’hotel, da inserire nel file Excel allegato. Se la vittima apriva il file, le macro al suo interno si collegavano al server di comando e controllo (C2) e iniziavano a estrarre i dati dalle reti dell’hotel.
Il team di Trellix sospetta che i dati fossero sottratti per un uso successivo e sottolinea che al momento degli attacchi nelle strutture erano in corso conferenze ed eventi internazionali che potevano attrarre potenziali target di spionaggio. La campagna di spear phishing è terminata il 18 gennaio.
DarkHotel ha già preso di mira in passato obiettivi cinesi. Ad aprile del 2020 ha attaccato il provider di VPN SangFor, usato da varie agenzie del governo cinese. Nello stesso periodo, all’inizio della pandemia, ha attaccato anche i sistemi dell’Organizzazione Mondiale della Sanità.
