Aumento degli attacchi alle telecomunicazioni negli ultimi due anni

Aumento degli attacchi alle telecomunicazioni negli ultimi due anni: una breve storia

A cura di Corradino Corradi

Negli ultimi due anni, il numero di attacchi contro le infrastrutture e i servizi di telecomunicazione è aumentato notevolmente in termini di numero e complessità.

Molte aziende di telecomunicazioni hanno subito significative violazioni dei dati dei clienti, con la necessità di segnalarli all’Autorità Garante per la Privacy; molti degli attacchi erano legati a gruppi di criminalità informatica con finalità prevalentemente economica. In questo articolo, invece, mi concentrerò sugli attacchi denominati Advanced Persistent Threat (APT), legati prevalentemente a cyberspionaggio o competizione geo-tecnica-politica ed in casi estremi a cyber-war.

Senza un ordine particolare, riporto i 5 principali attacchi alle infrastrutture di telecomunicazione nel 2024 e nel 2025, con un breve riassunto e un’analisi più approfondita, realizzata con il supporto di AI (in particolare Microsoft Co-pilot per la sicurezza e Perplexity) e mappata in base alle tattiche, tecniche e procedure (TTP) MITRE. The TTPs sono lasciate in inglese in modo da favorire una veloce mappatura con MITRE ATTACK®.¹

Attacco cyber di Weaver Ant
Chi: fornitore di servizi di telecomunicazioni asiatico.
Quando: l’attacco è durato quattro anni, concludendosi nel 2024.
Da chi: l’attacco è stato condotto dagli hacker della Chinese Weaver Ant.
Tecnica: gli hacker hanno spiato la rete utilizzando tecniche ATP.
Gli hacker della Chinese Weaver Ant (1) si sono infiltrati presso un importante fornitore di servizi di telecomunicazioni asiatico per oltre quattro anni, mantenendo un accesso persistente a fini di spionaggio informatico sfruttando i router Zyxel vulnerabili e implementando web shell avanzate come China Chopper e INMemory crittografati, che hanno consentito il controllo remoto stealth, l’accesso alle credenziali dell’Active Directory dell’operatore ed infine l’esfiltrazione dei dati.
MITRE ATT&CK-TTPs: include initial access via exploitation of public-facing applications, persistence through web shells, defence evasion using encryption and web shell tunneling, credential access and discovery targeting Active Directory, lateral movement with recursive HTTP tunnels, and data exfiltration through covert network traffic capturing.

Attacco cyber di APT29
Chi: diverse compagnie telefoniche europee.
Quando: gennaio-febbraio 2024.
Tecnica utilizzata: gli aggressori hanno utilizzato spearphishing e malware per infiltrarsi nelle reti e rubare informazioni sensibili.
APT29 detto anche Cozy Bear (2), è un gruppo sponsorizzato dallo stato russo e collegato all’SVR, conduce attività di cyberspionaggio contro governi, aziende di telecomunicazioni e think tank, in particolare attraverso attacchi alla catena di approvvigionamento (vedi SolarWinds) e campagne di cloud targeting che utilizzano la forza bruta e l’uso di password spraying su account di servizio e credenziali dei dipendenti inattivi.
MITRE ATT&CK-TTPs: include Initial Access via Exploit Public-Facing Application and Supply Chain Compromise, Persistence through Valid Accounts and Web Shells, Credential Access via Unsecured Credentials, Lateral Movement with HTTP tunneling, and Defence Evasion using encrypted proxies (PyRDP) and Magic Web malware to masquerade as legitimate users.

Attacco cyber di Salt Typhoon
Chi: diverse compagnie telefoniche asiatiche
Quando: giugno-luglio 2024.
Tecnica: gli aggressori hanno sfruttato vulnerabilità zero-day per accedere alle reti e condurre attività di sorveglianza.
Salt Typhoon (3), un gruppo di hacker legato allo stato cinese, ha condotto prolungate campagne di cyberspionaggio contro fornitori di telecomunicazioni globali ed enti governativi, sfruttando le vulnerabilità delle applicazioni per infiltrarsi nelle reti, rubare dati di comunicazione sensibili e monitorare obiettivi di alto profilo come funzionari statunitensi.
MITRE ATT&CK TTP: include initial access via Exploit Public-Facing Application, credential harvesting through Windows Command Shell, registry modification for persistence, lateral movement using HTTP tunneling, and stealthy data exfiltration via encrypted DNS or ICMP channels.

Attacco cyber di Earth Lusca
Chi: diverse compagnie telefoniche dell’Europa occidentale.
Quando: novembre 2024.
Tecnica utilizzata: gli aggressori hanno utilizzato malware avanzato per compromettere le reti ed esfiltrare dati.
MITRE ATT&CK TTP: include Initial Access via Exploit Public-Facing Application, Execution through Command and Scripting Interpreter, Persistence using Web Shells and Backdoors, Lateral Movement via Remote Services and Cobalt Strike, Credential Access through Credential Dumping, and Command and Control over TCP with custom protocols.

Attacco cyber di Velvet Ant
Chi: compagnie telefoniche nordamericane.
Quando: nel corso del 2024.
Tecnica utilizzata: gli aggressori hanno utilizzato una combinazione di ingegneria sociale e malware avanzato per infiltrarsi nelle reti e rubare informazioni sensibili.
Il gruppo di hacker Velvet Ant (5), legato alla Cina, ha condotto una prolungata campagna di cyberspionaggio sfruttando i dispositivi F5 BIG-IP legacy come server interni di comando e controllo per mantenere la persistenza, eludere il rilevamento ed esfiltrare dati sensibili per circa tre anni.
MITRE ATT&CK TTP: include Initial Access via Exploit Public-Facing Application targeting vulnerable F5 BIGIP systems, Persistence through use of PlugX backdoor with DLL side-loading, Defence Evasion by blending C2 traffic with legitimate network traffic, Lateral Movement using open-source tools like Impacket, and Command and Control via internal C2 infrastructure leveraging compromised load balancers.

In conclusione, gli esempi elencati mostrano quanto numerosi gruppi di spionaggio informatico sponsorizzati da stati (state sponsored cyber crime groups) siano attivi in attacchi APT contro le aziende di telecomunicazioni e quanto sofisticate siano diventate le loro tattiche, tecniche e procedure (TTPs). La loro capacità di sfruttare le vulnerabilità dei server pubblici per l’accesso iniziale, impiegare malware e backdoor avanzati per la persistenza, manovrare lateralmente all’interno di reti compromesse e utilizzare protocolli personalizzati per il comando e il controllo sottolinea l’evoluzione del panorama delle minacce cyber.

L’integrazione del social engineering e dello sfruttamento di dispositivi legacy evidenzia ulteriormente l’ingegnosità di questi aggressori nell’aggirare le misure di sicurezza informatica tradizionali. Le aziende di telecomunicazioni devono rimanere vigili e proattive nel rafforzare le proprie difese contro queste minacce informatiche per salvaguardare i dati sensibili e mantenere l’integrità operativa delle infrastrutture di rete (in larga parte elemento portante delle Critical Infrastructure); devono inoltre interagire attivamente per la gestione degli incidenti con i C-SIRT nazionali e l’unità di contrasto del cyber-crime della polizia e contribuire attivamente alla partnership pubblica e privata (PPP), in particolare con le agenzie nazionali per la sicurezza informatica.

Citazioni per China Wever Ant (1):
• https://www.infosecurity-magazine.com/news/china-weaver-ant-hackers-telco/
• https://www.pcmag.com/news/chinese-hackersremained-inside-an-asian-telecom-firm-for-4-plusyears
• https://www.msspalert.com/brief/multi-year-telcohack-conducted-by-chinese-apt
• https://www.bleepingcomputer.com/news/security/chinese-weaver-ant-hackers-spied-on-telco-network-for-4-years/
• https://www.linkedin.com/pulse/china-nexus-aptweaver-ant-caught-multiyear-web-shell-attack-cv-9ze
• https://www.sygnia.co/threat-reports-and-advisories/weaver-ant-tracking-a-china-nexus-cyber-espionage-operation/
• https://hivepro.com/threat-advisory/web-shell-warfare-weaver-ants-covert-cyber-espionage-campaign/
• https://www.scworld.com/brief/multi-year-telcohack-conducted-by-chinese-apt
• https://therecord.media/chinese-hackers-spent-years-telco
• https://industrialcyber.co/ransomware/sygnia-details-weaver-ant-tactics-in-battle-against-china-linked-cyber-threats-on-telecoms/
• https://socprime.com/blog/detect-weaver-ant-apt-attacks/
• https://www.linkedin.com/pulse/router-based-cyberattacks-mitre-attck-ttp-analysis-cary-d7zkc
• https://securityonline.info/china-chopper-inmemory-weaver-ants-arsenal-of-advanced-web-shells/
• https://en.wikipedia.org/wiki/ATT&CK
• https://www.picussecurity.com/resource/blog/cyber-threat-intelligence-report-may-2023

Citazioni for APT 29 (2):
• https://fieldeffect.com/blog/russia-linked-apt29-increasingly-targeting-cloud-services
• https://www.cybereason.com/blog/understanding-the-mitre-attck-apt29-round-2-evaluation
• https://www.picussecurity.com/resource/blog/apt29-cozy-bear-evolution-techniques
• https://fieldeffect.com/blog/apt-29-hustles-high-profile-organizations-with-malicious-rdp-files
• https://www.linkedin.com/pulse/analyzing-apts-ttps-using-mitre-attck-framework-martin-norris-5xf3e
• https://thehackernews.com/search/label/APT29
• https://www.kaspersky.com/enterprise-security/mitre/apt29
• https://attack.mitre.org/groups/G0016/
• https://socradar.io/apt-profile-cozy-bear-apt29/
• https://securityboulevard.com/2020/08/21-cybersecurity-products-to-combat-apt29-mitre-weighs-in/

Citazioni per Salt Typhoon (3):
• https://techcrunch.com/2025/02/13/chinas-salt-typhoon-hackers-continue-to-breach-telecom-firms-despite-us-sanctions/
• https://www.picussecurity.com/resource/how-breach-and-attack-simulation-helps-you-to-operationalize-mitre-attck
• https://osintteam.blog/deception-playbook-for-volt-typhoon-and-salt-typhoon-bf9478fd5d-1d?gi=53d586701cd7
• https://www.vectra.ai/threat-actors/salt-typhoon
• https://www.pcmag.com/news/chinas-salt-typhoonhackers-breached-us-networks-using-existing-flaws
• https://osintteam.blog/deception-playbook-for-volt-typhoon-and-salt-typhoon-bf9478fd5d-1d?gi=a7a84286aa23
• https://www.nextgov.com/cybersecurity/2025/02/salt-typhoon-hackers-exploited-stolen-credentials-and-7-year-old-software-flaw-cisco-systems/403146/
• https://www.cybersecuritydive.com/news/fbi-chinasalt-typhoon-hack-telecom-tips/746490/
• https://cyberscoop.com/salt-typhoon-us-government-response/
• https://en.wikipedia.org/wiki/Salt_Typhoon

Citazioni per Earth Lusca (4):
• https://www.trendmicro.com/en_za/research/22/a/earth-lusca-sophisticated-infrastructure-varied-tools-and-techni.html
• https://www.broadcom.com/support/security-center/protection-bulletin/malicious-activities-by-the-earth-lusca-threat-actor
• https://thehackernews.com/2023/09/earth-luscas-new-sprysocks-linux.html
• https://apt.etda.or.th/cgi-bin/showcard.cgi?g=Earth+Lusca
• https://thecyberpost.com/news/security/earth-lusca-cyber-espionage-with-crypto-theft-on-the-side/amp/
• https://www.infosecurity-magazine.com/news/chinese-group-linux-backdoor/
• https://vulnera.com/newswire/earth-luscas-advanced-sprysocks-linux-backdoor-targets-global-government-entities/
• https://attack.mitre.org/groups/G1006/
• https://www.linuxjournal.com/content/linux-threat-report-earth-lusca-deploys-novel-sprysocks-backdoor-attacks-government

Citazioni per Velvet Hunt (5):
• https://www.darkreading.com/cyberattacks-data-breaches/china-velvet-ant-apt-multiyear-espionage
• https://socprime.com/blog/velvet-ant-activity-detection-china-backed-cyber-espionage-group-launches-a-prolonged-attack-using-malware-deployedon-the-f5-big-ip-devices/
• https://www.sygnia.co/blog/china-nexus-threatgroup-velvet-ant/
• https://socradar.io/velvet-ants-strategic-targeting-a-long-term-cyber-espionage-campaign-against-f5-big-ip-systems/
• https://www.bankinfosecurity.com/researchers-uncover-chinese-hacking-cyberespionage-campaign-a-25558
• https://hackread.com/chinese-velvet-ant-hackers-target-f5-devices/
• https://www.anvilogic.com/threat-reports/chinese-cyber-espionage
• https://www.netizen.net/news/post/4594/china-linked-velvet-ant-uses-f5-big-ip-malware-in-cyber-espionage-campaign
• https://malware.news/t/velvet-ant-s-strategic-targeting-a-long-term-cyber-espionage-campaign-against-f5-big-ip-systems/83664

Nota:
1. https://attack.mitre.org/