Cicada (o APT10) è il nome di una crew di cybercriminali che, secondo quanto riportato da alcuni analisti, agirebbe per conto delle autorità di Pechino. Tra le attività più recenti di questo gruppo vi sarebbe anche una vera e propria campagna di cyberspionaggio portata avanti tramite VLC, uno dei più noti player multimediali Open Source multipiattaforma.
La tecnica utilizzata per diffondere malware
La tecnica di attacco utilizzata più frequentemente da Cicada consiste nel diffondere malware anche attraverso applicazioni perfettamente legittime, come per esempio il già citato VLC, lo scopo delle loro azioni malevole è in genere quello di raccogliere dati dai terminali infettati e inviarli a dei server di terze parti via Internet, tenendo le vittime all’oscuro.
Nel caso specifico del player, stando alle affermazioni degli esperti di Symantec l’attacco avrebbe avuto origine nel 2021 e sarebbe stato condotto attraverso copie di VLC analoghe al software originale ma con l’integrazione di una libreria malevola, ciò con l’intenzione di applicare la tecnica del DLL side-loading e di eseguire codice arbitrario.
A livello tecnico l’azione malevola baserebbe il suo funzionamento su un server WinVNC che è in sostanza una piattaforma per il controllo a distanza dei terminali, sarebbe stata poi rilevata una backdoor, chiamata Sodamaster, che essendo caricata direttamente nella memoria dei PC coinvolti risulterebbe molto difficile da rilevare.
Il gruppo Cicada è operativo dal 2009 con azioni in diversi stati (tra cui l’Italia)
Quello di Cicada non è un nome sconosciuto, si tratta infatti di una realtà di cui si ebbe notizia per la prima volta nel corso del 2009, quando le sue attenzioni erano rivolte contro le infrastrutture tecniche di alcune compagnie nipponiche, successivamente vennero colpite anche telco, ONG, organizzazione religiose, pubbliche amministrazioni e compagnie farmaceutiche di altri stati tra cui l’Italia.