(AGENPARL) - Roma, 5 Luglio 2026 - L’intelligence informatica ha rilevato una persistente campagna di spionaggio condotta dal gruppo Mustang Panda, allineato agli interessi di Pechino, contro i gangli vitali dell’amministrazione e del settore energetico indiano. L’operazione, emersa recentemente dalle analisi tecniche, rivela un salto di qualità nelle tattiche di infiltrazione utilizzate per minacciare la sicurezza nazionale.
La tecnica: il Cloud come canale di comando
L’aspetto più critico dell’operazione risiede nell’abuso di Zoho WorkDrive, una piattaforma di cloud storage comunemente utilizzata dagli enti governativi indiani. Gli aggressori hanno trasformato questo strumento legittimo nel loro canale di Comando e Controllo (C2). Sfruttando le normali attività cloud per esfiltrare dati, il traffico malevolo è diventato invisibile agli occhi dei sistemi di sorveglianza tradizionali, mimetizzandosi tra le operazioni quotidiane.
Il toolkit dell’aggressore
L’analisi tecnica ha identificato tre componenti chiave utilizzate per questa infiltrazione:
- SHARDLOADER: Un loader che utilizza il sideloading di una DLL malevola, agganciandosi a binari legittimi e firmati come Citrix Receiver o Solid PDF Creator.
- MINIRECON: Una variante avanzata della backdoor Toneshell, capace di mantenere il controllo remoto tramite connessioni WebSocket protette su HTTPS.
- ZOHOMURK: Un impianto inedito che utilizza credenziali Zoho OAuth hardcoded per trasformare il cloud storage in un “dead drop”, dove gli attaccanti depositano comandi e prelevano dati sottratti.
Obiettivi strategici: Energia e Difesa
L’operazione è altamente mirata. Le esche utilizzate, recapitate tramite campagne di spear-phishing, si concentrano su proposte di cooperazione nel settore idroelettrico e memorandum d’intesa tra istituzioni indiane e taiwanesi. L’obiettivo di Pechino appare chiaro: intercettare i piani di sviluppo energetico dell’India e monitorare l’evoluzione dei legami di difesa tra Nuova Delhi e Taipei.
Indicatori di minaccia e difesa
L’attribuzione a Mustang Panda è sostenuta da solide prove tecniche: la sovrapposizione di codice con strumenti noti, il riutilizzo di infrastrutture di comando e la presenza di un ricorrente errore di battitura, RunOnece, riscontrato in diverse operazioni.
Per gli operatori del settore, le raccomandazioni sono chiare: monitorare i processi endpoint che interagiscono in modo anomalo con le API cloud e prestare massima attenzione a task pianificati sospetti come SolidPDFPcl2Bmp. In questa partita, non esiste una patch risolutiva: la difesa risiede esclusivamente nella capacità di intercettare l’abuso dei servizi cloud nel momento in cui avviene, mantenendo alta la guardia contro le esche geopolitiche.
