Uncovering an undetected KEYPLUG implant attacking Italian Industries

La minaccia di KeyPlug alle industrie Italiane

Durante un’approfondita investigazione, il team di Tinexta Cyber ha scovato una backdoor denominata KeyPlug che ha colpito per mesi diverse industrie italiane. Questa backdoor risulta essere stata attribuita all’arsenale del gruppo originario della cina APT41.

APT41, noto con altri alias come Amoeba, BARIUM, BRONZE ATLAS, BRONZE EXPORT, Blackfly, Brass Typhoon, Earth Baku, G0044, G0096, Grayfly, HOODOO, LEAD, Red Kelpie, TA415, WICKED PANDA e WICKED SPIDER è originario dalla Cina (con possibili collegamenti governativi), conosciuto per le sue complesse campagne e varietà di settori colpiti, il loro intento varia dall’esfiltrazione di dati sensibili ai guadagni economici.

Tale backdoor è scritta sia per colpire i sistemi operativi e Windows che Linux ed utilizza diversi protocolli di comunicazione che dipendono dalla configurazione del campione del malware stesso.

Il team di Tinexta Cyber ha analizzato entrambe le varianti, sia quella per Microsoft Windows, sia quella per Linux, mostrando gli elementi in comune che rendono la minaccia capace di restare resiliente all’interno dei sistemi aggrediti, nonostante fossero presenti apparati di difesa perimetrale come Firewall e NIDS ed EDR installati su tutti gli endpoint.