/https://www.html.it/app/uploads/2025/05/google-calendar.jpg "Hacker cinesi sfruttano Google Calendar per diffondere virus e malware")
Un gruppo di hacker noto come APT41, legato alla Cina, ha implementato una nuova tecnica di attacco che sfrutta il servizio di Google Calendar come canale di comando e controllo, rendendo le operazioni maligne quasi invisibili ai tradizionali sistemi di sicurezza. Questa sofisticata campagna dimostra come le minacce informatiche continuino a evolversi, sfruttando piattaforme legittime per nascondere attività dannose.
La scoperta dell'attacco
Il Threat Intelligence Group di Google ha individuato questa campagna avanzata, rivelando l'utilizzo di un nuovo malware denominato ToughProgress. Questo strumento dannoso sfrutta la fiducia che gli utenti ripongono in servizi cloud come Google Calendar per mascherare le comunicazioni tra gli attaccanti e i sistemi compromessi. Nascondendosi dietro una piattaforma legittima e ampiamente utilizzata, il malware elude i controlli di sicurezza tradizionali, rendendo difficile la sua individuazione.
Google ha risposto immediatamente alla minaccia, smantellando l'infrastruttura compromessa e implementando contromisure specifiche per prevenire futuri abusi. Questo intervento tempestivo ha sottolineato l'importanza di una vigilanza costante nel settore della cybersecurity.
Meccanismo di infezione e comunicazione
L'attacco segue un processo ben strutturato. Tutto inizia con l'invio di email ingannevoli contenenti link a file ZIP ospitati su siti governativi compromessi. Una volta scaricato, l'archivio include un falso documento PDF (in realtà un file LNK) e due file apparentemente innocui che nascondono codice malevolo.
Quando la vittima apre il documento, il malware si attiva utilizzando una tecnica nota come "process hollowing". Questo metodo sfrutta un processo legittimo di Windows, svhost.exe, per iniettare il componente finale del malware, ToughProgress, senza lasciare tracce sul disco rigido. Una volta installato, il malware stabilisce una connessione con Google Calendar, monitorando eventi specifici per ricevere istruzioni nascoste nelle descrizioni. I risultati delle operazioni vengono inviati agli attaccanti attraverso nuovi eventi, consentendo loro di operare in modo flessibile e nascosto.
Interventi e notifiche alle vittime
Google ha reagito rapidamente disattivando tutti gli account Workspace e gli eventi Calendar compromessi. Inoltre, ha aggiornato i suoi sistemi di protezione per avvisare gli utenti che visitano siti collegati a questa campagna e ha bloccato il traffico correlato su tutte le sue piattaforme. In collaborazione con Mandiant, Google ha notificato direttamente le organizzazioni colpite, fornendo campioni del malware e log di traffico per facilitare l'identificazione di eventuali infezioni.
/https://www.html.it/app/uploads/2025/04/nvidia-fix.jpg)
/https://www.html.it/app/uploads/2025/07/telemessage.jpg)
/https://www.html.it/app/uploads/2025/07/wp_drafter_560304.jpg)
/https://www.html.it/app/uploads/2025/05/windows-11-2.jpg)