Un’operazione di cyberspionaggio su scala globale, attribuita con elevata probabilità a un attore sponsorizzato da uno Stato, ha messo sotto pressione governi e infrastrutture critiche in decine di Paesi. La campagna, battezzata Shadow Campaigns dai ricercatori di Unit 42 di Palo Alto Networks, è riconducibile al gruppo monitorato come TGR-STA-1030/UNC6619, attivo almeno da inizio 2024 e ritenuto operare dall’Asia. Tra attacchi riusciti e attività di ricognizione, l’operazione si distingue per portata geografica, tempistiche mirate e un arsenale tecnico particolarmente avanzato.
Una campagna globale tra compromissioni e ricognizione mirata
Secondo l’analisi di Unit 42 riportata da Bleeping Computer, Shadow Campaigns ha portato alla compromissione confermata di almeno 70 organizzazioni governative e di infrastrutture critiche in 37 Paesi, mentre tra novembre e dicembre dello scorso anno il gruppo ha condotto attività di ricognizione contro entità collegate a 155 nazioni. I settori colpiti delineano con chiarezza la natura strategica dell’operazione: ministeri, forze dell’ordine, controllo delle frontiere, finanza, commercio, energia, miniere, immigrazione e apparati diplomatici.
La distribuzione geografica e il timing degli attacchi suggeriscono una pianificazione legata a eventi politici e istituzionali. Durante lo shutdown del governo statunitense dell’ottobre 2025, gli analisti hanno osservato un picco di scansioni verso infrastrutture governative in Nord, Centro e Sud America, inclusi Brasile, Canada, Messico e Panama. Ancora più significativo il caso dell’Honduras: oltre 200 indirizzi IP riconducibili a infrastrutture governative sono stati oggetto di ricognizione circa 30 giorni prima delle elezioni nazionali, in un contesto in cui entrambi i candidati avevano manifestato apertura al ripristino dei rapporti diplomatici con Taiwan.
L’elenco delle compromissioni confermate rafforza l’ipotesi di un’attività orientata all’intelligence geopolitica ed economica. Tra i bersagli figurano il Ministero delle Miniere e dell’Energia del Brasile, due ministeri messicani, un’infrastruttura governativa a Panama, entità legate al settore minerario in Bolivia, oltre a numerose organizzazioni pubbliche in Europa, tra cui strutture in Italia, Germania, Grecia, Polonia e Portogallo. Fuori dal continente europeo, risultano colpite anche agenzie governative e infrastrutture critiche in Africa, un vettore strategico nel settore energetico di Taiwan, un dipartimento governativo thailandese e perfino una compagnia aerea indonesiana.
Tecniche di attacco, phishing e sfruttamento di vulnerabilità note
Sul piano operativo, Shadow Campaigns combina tecniche tradizionali e strumenti altamente specializzati. Le prime fasi dell’operazione si sono basate su email di phishing estremamente mirate, inviate a funzionari governativi e costruite attorno a temi interni credibili, come riorganizzazioni ministeriali. I messaggi contenevano link a archivi malevoli ospitati su Mega.nz, con nomi localizzati per aumentare il tasso di successo.
All’interno degli archivi, i ricercatori hanno individuato il loader Diaoyu, accompagnato da un file PNG vuoto utilizzato come controllo di integrità. In assenza di questo file, il malware interrompe l’esecuzione, una misura pensata per eludere ambienti di analisi e sandbox. Una volta attivo, Diaoyu è in grado di caricare strumenti come Cobalt Strike e il framework VShell per il comando e controllo, ma solo dopo aver verificato precise condizioni ambientali, tra cui la risoluzione dello schermo e l’assenza di processi riconducibili a software di sicurezza diffusi.
Accanto al phishing, TGR-STA-1030/UNC6619 ha dimostrato una notevole capacità nello sfruttamento di vulnerabilità note, utilizzando almeno 15 falle di sicurezza in prodotti ampiamente diffusi, tra cui SAP Solution Manager, Microsoft Exchange Server, dispositivi D-Link e componenti di Microsoft Windows. Questa combinazione di tecniche consente al gruppo di adattarsi rapidamente a contesti difensivi differenti, aumentando le probabilità di accesso iniziale.
ShadowGuard e l’evoluzione degli strumenti di spionaggio
Uno degli elementi più rilevanti emersi dall’indagine riguarda l’uso di un rootkit Linux personalizzato basato su eBPF, denominato ShadowGuard. Secondo Unit 42, si tratta di uno strumento probabilmente unico nel panorama osservato e direttamente attribuibile al gruppo. La scelta di operare a livello di kernel rende questo malware estremamente difficile da individuare, poiché consente di manipolare funzioni di sistema e log prima che i dati vengano intercettati dagli strumenti di monitoraggio.
ShadowGuard è in grado di nascondere processi e file a livello kernel, occultando fino a 32 PID e directory specifiche dai comandi standard di ispezione dei sistemi Linux. Allo stesso tempo, il rootkit offre agli operatori la possibilità di definire quali processi debbano restare visibili, mantenendo un controllo granulare sull’ambiente compromesso. A completare il quadro, l’infrastruttura di comando e controllo si appoggia a server VPS legittimi negli Stati Uniti, a Singapore e nel Regno Unito, con l’uso di relay, proxy residenziali e Tor per offuscare il traffico.
Secondo Unit 42, TGR-STA-1030/UNC6619 rappresenta un attore di cyberspionaggio maturo e altamente organizzato, focalizzato sulla raccolta di informazioni strategiche, economiche e politiche. L’impatto già osservato su decine di governi e infrastrutture critiche evidenzia come le minacce cibernetiche statali stiano diventando sempre più pervasive, sofisticate e difficili da contrastare, imponendo un costante aggiornamento delle strategie di difesa e cooperazione internazionale.
