Il Global Research and Analysis Team (GReAT) di Kaspersky ha identificato una nuova campagna di cyberspionaggio denominata PassiveNeuron, mirata ai server Windows di enti governativi, istituti finanziari e aziende industriali in Asia, Africa e America Latina. L’attività, scoperta nel dicembre 2024, si è protratta fino all’agosto 2025, per poi riprendere dopo sei mesi di inattività.
La campagna impiega tre strumenti principali, due dei quali fino a oggi sconosciuti: Neursite, una backdoor modulare, NeuralExecutor, un sistema basato su .NET, e Cobalt Strike, un framework di penetration testing frequentemente sfruttato dai gruppi cybercriminali.
Secondo i ricercatori, Neursite consente di raccogliere informazioni di sistema, gestire i processi in esecuzione e reindirizzare il traffico di rete attraverso host compromessi, permettendo agli aggressori di muoversi lateralmente all’interno delle infrastrutture bersaglio. Alcuni campioni analizzati sono stati in grado di comunicare sia con server di comando e controllo esterni, sia con sistemi interni già violati.
NeuralExecutor, invece, è stato progettato per distribuire payload aggiuntivi, supportando più metodi di comunicazione e la capacità di caricare ed eseguire assembly .NET ricevuti dal server C2 (Command and Control).
“PassiveNeuron si distingue per la sua abilità nel compromettere i server, che rappresentano il cuore delle reti aziendali”, spiega Georgy Kucherin, ricercatore del GReAT di Kaspersky. “I server esposti a Internet sono obiettivi privilegiati dai gruppi APT (Advanced Persistent Threat), perché un singolo host compromesso può aprire l’accesso a sistemi critici. È essenziale ridurre la superficie di attacco e monitorare costantemente le applicazioni server per individuare e bloccare tempestivamente eventuali intrusioni”.
Durante l’analisi, il team ha rilevato che alcune funzioni del codice erano contrassegnate da stringhe in caratteri cirillici, inserite probabilmente come false tracce per depistare l’attribuzione dell’attacco. Tuttavia, basandosi sulle tattiche, tecniche e procedure (TTP) osservate, Kaspersky ritiene che PassiveNeuron sia con ogni probabilità legata a gruppi di hacker di lingua cinese.
Kaspersky aveva già individuato tracce della campagna a inizio 2024, descrivendola come un’operazione sofisticata e ben organizzata. I nuovi elementi emersi confermano l’evoluzione del gruppo e la sua capacità di mantenere l’accesso alle reti compromesse per lunghi periodi.
Come difendersi dagli attacchi mirati
Gli esperti di Kaspersky raccomandano di:
- Aggiornare costantemente la threat intelligence aziendale, utilizzando strumenti come il Kaspersky Threat Intelligence Portal, che raccoglie dati su minacce e attacchi globali.
- Rafforzare la formazione dei team di sicurezza attraverso corsi online sviluppati dal GReAT, focalizzati sulle più recenti minacce APT.
- Implementare soluzioni EDR come Kaspersky Endpoint Detection and Response per rilevare e rispondere rapidamente agli incidenti.
- Adottare piattaforme di sicurezza di rete avanzate, tra cui la Kaspersky Anti Targeted Attack Platform, in grado di individuare minacce sofisticate prima che causino danni.
- Formare regolarmente il personale contro phishing e social engineering, utilizzando piattaforme come Kaspersky Automated Security Awareness Platform.
