![](\"https:\/\/news.sophos.com\/wp-content\/uploads\/2024\/09\/shutterstock_2458057241.jpg\"\/)
<\/p>\nDopo un breve periodo di inattivit\u00e0, Sophos X-Ops continua a osservare e a rispondere a quella che, a nostro avviso, \u00e8 un’operazione di cyber-spionaggio diretta dallo Stato cinese e che ha come obiettivo un’importante agenzia del governo di una nazione del Sud-Est asiatico.<\/p>\n
Nel corso delle indagini su questa attivit\u00e0, che abbiamo identificato con il nome di Operazione Crimson Palace, Sophos Managed Detection and Response (MDR) ha rilevato una telemetria che indica la compromissione di altre organizzazioni governative nella regione e ha individuato attivit\u00e0 correlate a questi cluster di minacce esistenti in altre organizzazioni della stessa regione. Gli aggressori hanno costantemente utilizzato altre reti di aziende e servizi pubblici compromessi in quella regione per distribuire malware e strumenti con la scusa di un punto di accesso affidabile<\/p>\n
Il nostro precedente rapporto<\/a> riguardava l’attivit\u00e0 di tre cluster di minacce alla sicurezza (STAC) associati all’attivit\u00e0 di cyber-spionaggio: il Cluster Alpha (STAC1248), il Cluster Bravo (STAC1870) e il Cluster Charlie (STAC1305), tutti rilevati tra marzo e agosto 2023. Tutti e tre i cluster di minacce che operavano all’interno della propriet\u00e0 dell’agenzia bersaglio si sono disattivati nell’agosto 2023.<\/p>\n Tuttavia, il Cluster Charlie ha ripreso l’attivit\u00e0 diverse settimane dopo. Questo fenomeno, che comprendeva un keylogger precedentemente non documentato che abbiamo chiamato \u201cTattleTale\u201d, ha segnato l’inizio di una seconda fase e di un\u2019espansione dell’azione di intrusione in tutta la regione, che \u00e8 tuttora in corso.<\/p>\n Sophos MDR ha inoltre osservato una serie di rilevamenti in linea con gli strumenti utilizzati dal Cluster Bravo presso entit\u00e0 esterne all’agenzia governativa oggetto del nostro rapporto iniziale, tra cui due enti non governativi di servizio pubblico e altre realt\u00e0, tutte con sede nella stessa regione. Questi rilevamenti includevano la telemetria che mostrava l’uso dei sistemi di un’organizzazione come punto di collegamento C2 e come terreno di stoccaggio per gli strumenti, nonch\u00e9 lo stoccaggio del malware sul server Microsoft Exchange compromesso di un’altra entit\u00e0.<\/p>\n