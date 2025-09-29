Attivo nel mondo dell’editoria sin dal 2011, giornalista dal 2019, ha lavorato per il web e per la carta stampata occupandosi di musica, cultura, lifestyle e tecnologia.

In Sintesi

Un attacco informatico attribuito al gruppo cinese APT UNC5221 ha utilizzato il malware modulare Brickstorm per infiltrarsi nei sistemi di grandi aziende tecnologiche.

Il malware ha eluso i controlli di sicurezza per oltre un anno, sottraendo dati altamente riservati utilizzati per il cyber-spionaggio.

Un attacco informatico partito dalla Cina ha compromesso i sistemi di alcune delle principali aziende tecnologiche e studi legali negli USA. L’artefice di questa campagna di cyber-spionaggio è Brickstorm, un malware molto sofisticato sviluppato per infiltrarsi silenziosamente nei sistemi informatici e sottrarre informazioni.

Secondo le analisi condotte dal Google Threat Intelligence Group, l’operazione è attribuita al gruppo hacker APT UNC5221 e rappresenta una delle campagne di infiltrazione più gravi degli ultimi anni. La particolarità di questo evento, sta nel fatto che il file malevolo è riuscito a eludere i controlli di sicurezza per un arco temporale molto esteso, dimostrando una maturità tecnica e strategica che richiama alla mente le più sofisticate operazioni di spionaggio industriale dell’era digitale.

Cos’è Brickstorm e come funziona

Brickstorm è stato progettato come un tool modulare in grado di assumere molteplici ruoli: server web, manipolatore del file system, diventare uno strumento per il trasferimento bidirezionale dei file e shell remota per l’esecuzione di comandi. Particolarmente degna di nota la funzione di proxy SOCKS, che consente di occultare il traffico malevolo all’interno delle comunicazioni legittime di rete, rendendo molto complessa l’individuazione dei processi da parte dei sistemi di difesa.

Gli sviluppatori, infatti, hanno integrato all’interno di questo malware tecniche di evasione avanzate, come: l’utilizzo di ritardi randomizzati nelle comunicazioni con i server C2, mimetizzazione dentro ai processi di sistema legittimi e rotazione costante dei domini di comando usando servizi come Cloudflare, Heroku e DNS dinamici.

Più di recente, gli hacker hanno introdotto Bricksteal, un filtro Java Servlet attivo esclusivamente in memoria, che viene utilizzato intercettare le credenziali trasmesse tramite HTTP Basic. La caratteristica di questo componente è un’esecuzione interamente all’interno della RAM, cosa che lo rende invisibile ai sistemi di rilevamento basati su scansioni disco.

Una volta ottenuto l’accesso ai sistemi, gli hacker passano alla clonazione delle macchine virtuali critiche, inclusi Domain Controller e server vault. Queste copie vengono analizzate offline e vengono sfruttati per estrarre file sensibili.

L’analisi del Google Threat Intelligence Group ha rilevato che l’obiettivo dei malintenzionati è il controllo delle caselle di posta elettronica di figure chiave all’interno delle aziende target, in modo di avere accesso illimitato a dati riservati, tecnologie e comunicazioni interne.

Ottenuto questo, gli operatori eliminano ogni traccia delle loro attività illegali, rendendo di fatto impossibile identificare i pattern riutilizzati o infrastrutture ricorrenti.

Cosa stanno facendo gli esperti di sicurezza informatica

Una minaccia così complessità ha messo in allerta gli esperti di sicurezza informatica che tornano a sottolineare la necessità di un approccio proattivo e multilivello alla cybersecurity.

La società Mandiant ha rilasciato uno script di scansione dedicato per individuare eventuali indicatori di compromissione associati a Brickstorm, invitando le organizzazioni a rafforzare le capacità di monitoraggio e a investire in soluzioni di detection avanzata.

Questa vicenda, comunque, sottolinea che gli attacchi hacker stanno diventando gradualmente delle vere e proprie campagne strategiche pronte a rubare informazioni sensibili e dati riservati che potrebbero davvero mettere in ginocchio anche i giganti del settore tech. In un contesto sempre più competitivo, dove si riaccende l’antica rivalità tra oriente e occidente, la cybersecurity si conferma ancora una volta un elemento centrale della geopolitica digitale contemporanea.