Un gruppo di cyberespionaggio di matrice asiatica ha compromesso le infrastrutture di 70 organizzazioni governative e di settori critici in 37 paesi negli ultimi dodici mesi, utilizzando un arsenale sofisticato che combina phishing, exploit zero-day, malware personalizzati e rootkit Linux. L'operazione, monitorata da Palo Alto Networks con la sigla TGR-STA-1030, ha colpito ministeri, agenzie di polizia, infrastrutture di controllo frontaliero e operatori di telecomunicazioni nazionali, con un'escalation preoccupante tra novembre e dicembre 2025, quando il gruppo ha condotto ricognizioni su 155 paesi.
L'ampiezza e la metodologia degli attacchi sollevano interrogativi sulla capacità difensiva delle infrastrutture governative occidentali. I ricercatori di Palo Alto Networks, che seguono il gruppo da febbraio 2025, ritengono che operi con il supporto di uno stato-nazione, basandosi su indicatori come il fuso orario GMT+8, l'utilizzo di strumenti regionali e targeting che coincide con eventi geopolitici specifici. La scelta delle vittime non appare casuale: oltre a ministeri degli Esteri, Finanze ed Energia, sono finiti nel mirino parlamentari e persino l'infrastruttura di un parlamento nazionale.
Dal punto di vista operativo, il gruppo dimostra una padronanza tecnica trasversale che spazia dal social engineering alla compromissione di server Linux. Le campagne di phishing iniziali, battezzate Shadow Campaigns, utilizzavano comunicazioni falsificate su cambiamenti organizzativi in istituzioni ufficiali, redatte nella lingua dei destinatari. I messaggi contenevano link che scaricavano un malware loader personalizzato chiamato Diaoyu, progettato per eludere antivirus e sandbox prima di scaricare Cobalt Strike, uno strumento di penetration testing commerciale diventato popolare tra gli attaccanti.
L'elenco dei software compromessi include SAP Solution Manager, Microsoft Exchange Server, prodotti Atlassian e apparati di networking di Ruijieyi Networks e D-Link. In un caso documentato, gli attaccanti hanno tentato di sfruttare la vulnerabilità CVE-2019-11580 su un server che gestiva servizi di passaporti e visti elettronici di un ministero degli Esteri. La strategia sembra privilegiare l'efficienza economica: piuttosto che investire in zero-day costosi, il gruppo sfrutta sistematicamente vulnerabilità note su infrastrutture non aggiornate.
Sul fronte malware, oltre a Cobalt Strike, TGR-STA-1030 impiega framework di comando e controllo come VShell, Havoc, SparkRat e Sliver. Sui server web compromessi vengono installate diverse web shell, tra cui Behinder, Neo-reGeorg e Godzilla. Ma l'elemento più insidioso è ShadowGuard, un rootkit Linux basato su eBPF (Extended Berkeley Packet Filter) che opera direttamente nello spazio kernel, rendendolo quasi impossibile da rilevare con strumenti tradizionali di sicurezza.
I ricercatori spiegano che i programmi eBPF non appaiono come moduli separati ma vengono eseguiti all'interno della macchina virtuale BPF del kernel, permettendo di manipolare funzioni di sistema e log di audit prima che i tool di monitoraggio possano accedere ai dati reali. ShadowGuard, apparentemente uno strumento esclusivo del gruppo, consente di nascondere processi, file e directory, garantendo una persistenza a lungo termine nelle reti compromesse.
I server di comando e controllo sono tipicamente ospitati su virtual private server negli Stati Uniti, Regno Unito e Singapore, complicando l'attribuzione e la risposta investigativa. La scelta di giurisdizioni con normative diverse sulla data retention e sulla cooperazione internazionale non è casuale e riflette una pianificazione strategica matura.
L'espansione delle operazioni emerge dall'analisi delle scansioni condotte tra ottobre e dicembre 2025, quando il gruppo ha testato le difese di organizzazioni in 155 paesi. Le scansioni non sono indiscriminate ma mirate su indirizzi IP specifici di infrastrutture governative. Durante lo shutdown del governo statunitense iniziato in ottobre, TGR-STA-1030 ha intensificato le ricognizioni verso governi delle Americhe, inclusi Brasile, Canada, Messico e Panama. I ricercatori confermano compromissioni in Bolivia, Brasile, Messico, Panama e Venezuela.
Il timing degli attacchi rivela una correlazione diretta con eventi geopolitici. Quando il presidente della Repubblica Ceca ha incontrato il Dalai Lama in agosto, il gruppo ha immediatamente avviato scansioni su infrastrutture dell'esercito ceco, polizia, parlamento e presidenza, oltre ai ministeri degli Interni, Finanze ed Esteri. Questa reattività suggerisce capacità di intelligence preliminare e decisionale centralizzata.
Palo Alto Networks valuta che il gruppo privilegi paesi coinvolti in particolari accordi economici, suggerendo obiettivi di spionaggio industriale oltre a quello governativo tradizionale. La natura degli obiettivi – ministeri del Commercio, Economia, Miniere ed Energia – conferma l'interesse per informazioni strategiche su approvvigionamenti, negoziazioni commerciali e progetti infrastrutturali.
La capacità del gruppo di operare su scala globale, mantenendo sofisticazione tecnica e sincronizzazione con eventi geopolitici, pone interrogativi sulla preparazione delle nazioni occidentali. Con infrastrutture critiche sempre più digitalizzate e perimetri di sicurezza che faticano a tenere il passo con tattiche in evoluzione, quanto tempo serve per rilevare un'operazione di spionaggio che già opera da un anno? E soprattutto, quante altre campagne simili sfuggono completamente ai radar della cybersecurity?