I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno condotto un’indagine su alcune attività sospette nella rete di una associazione di categoria statunitense operante nel settore finanziario. Durante le operazioni di supporto alla vittima per la gestione dell’incidente, i ricercatori hanno scoperto la presenza di strumenti malevoli riconducibili a FamousSparrow, un gruppo APT allineato alla Cina. Fino a quel momento, si pensava che il gruppo fosse inattivo, poiché non vi erano stati report pubblici dal 2022. L’indagine di ESET dimostra invece che non solo il gruppo era ancora attivo, ma che nel frattempo aveva anche aggiornato le proprie tecniche, come dimostrato dalle due versioni inedite della backdoor SparrowDoor rilevate all’interno della rete compromessa.
L’attività del gruppo tra il 2022 e il 2024 ha incluso anche il targeting di un’istituzione governativa in Honduras. Inoltre, è emerso che, poco prima dell’attacco negli USA, il gruppo era riuscito a violare un istituto di ricerca in Messico: entrambe le compromissioni risalgono alla fine di giugno 2024. Le nuove versioni di SparrowDoor mostrano un notevole miglioramento rispetto alle precedenti, sia per qualità del codice che per architettura, e una di esse include la parallelizzazione dei comandi.
