APT: nuovi toolset e TTP inedite degli avversari state-sponsored

Nel panorama state-sponsored, la settimana ha evidenziato nuove tattiche e strumenti da parte di APT di diversa matrice. L’indiano Bitter ha inviato e-mail di phishing con un focus verso le istituzioni diplomatiche nella regione dell’Asia meridionale in particolare in Pakistan, Bangladesh e Sri Lanka.

Attraverso script PowerShell e l’uso di strumenti di amministrazione di sistema legittimi, ha compromesso host target distribuendo una nuova reverse shell, chiamata BabShell, che impiega moduli inediti MemLoader HidenDesk e MemLoader Edge. Inoltre, il gruppo ha implementato strumenti di esfiltrazione con funzionalità specifiche per WhatsApp al fine di prendere di mira quanto condiviso tramite l’applicazione e ottenere informazioni sensibili.

In secondo luogo, un avversario nordcoreano monitorato sotto il cluster UNC5342 – presumibilmente riconducibile a Lazarus Group – ha adottato la tecnica EtherHiding nell’ambito della campagna di social engineering Contagious Interview, per distribuire un downloader inedito denominato JADESNOW e veicolare una variante JavaScript di InvisibleFerret, che ha portato a numerosi furti di asset digitali. L’iraniano MuddyWater ha invece colpito, con la versione 4 di una backdoor custom nominata Phoenix, più di 100 organizzazioni governative nella regione del Medio Oriente e Nord Africa (MENA), in particolare ambasciate, ministeri degli affari esteri, consolati, organizzazioni internazionali e compagnie di telecomunicazioni.

Durante l’analisi di questa operazione, è stato identificato un tool custom oltre a diverse utility di monitoraggio e gestione remota (RMM), quali: Chromium_Stealer, strumento per il furto delle credenziali dei browser camuffato da un’applicazione della calcolatrice; Action1, un tool RMM; e PDQ RMM.

La Cina ha accusato la National Security Agency (NSA) degli Stati Uniti di aver condotto un attacco informatico a fini di spionaggio contro il National Time Service Center (NTSC). Infine, ricercatori di sicurezza hanno osservato che nel luglio 2025, pochi giorni dopo la pubblicazione delle patch Microsoft, avversari cinesi hanno sfruttato la vulnerabilità CVE-2025-53770 – parte dell’exploit chain ToolShell – per compromettere una società di telecomunicazioni in Medio Oriente, oltre a due dipartimenti governativi in uno stesso Paese africano.

Ulteriori evidenze indicano che la stessa campagna ha coinvolto anche un’agenzia tecnologica statale in Africa, un dicastero in Medio Oriente e una società finanziaria europea.

Malware: aggiornamenti su minacce e campagne in circolazione

Questa settimana, ricercatori di sicurezza hanno segnalato nuovi tool malevoli e aggiornamenti di famiglie malware note. In una campagna di phishing transnazionale che si è estesa dalla Cina e Taiwan al Giappone e, più recentemente, alla Malesia, l’avversario ha prima diffuso Winos unicamente contro utenti a Taiwan; passando poi a operazioni più ampie che includono HoldingHands RAT.

Il payload di quest’ultimo rimane pressoché invariato rispetto alle versioni precedenti, con un’unica aggiunta significativa ovvero un nuovo comando C2 che consente di aggiornare l’indirizzo IP del server tramite chiave di registro, permettendo all’attaccante di cambiare infrastruttura senza redistribuire il malware. Mentre, in una campagna rivolta ad utenti indiani, è stato veicolato GhostBat RAT per rubare informazioni sensibili.

Questo trojan inedito, che si spaccia per un’applicazione ufficiale del Regional Transport Office (RTO) indiano chiamata mParivahan, viene distribuito tramite diversi vettori: messaggi WhatsApp, SMS con URL accorciati che riportano a file APK ospitati su GitHub, e siti web compromessi. Il RAT utilizza inoltre librerie native (.so) che decriptano e caricano dinamicamente in memoria API, tramite JNI, per eseguire payload quali un cryptominer e un infostealer mirato al furto di credenziali bancarie.

Un ulteriore novità, riguarda un’operazione Loader-as-a-Service (LaaS) di matrice brasiliana tuttora in corso che ha previsto la distribuzione di un’ampia gamma di payload e infostealer come Remcos, XWorm e Katz Stealer. Prendendo di mira target appartenenti a settori diversi di Sud America, Africa ed Europa orientale con vittime confermate in Brasile, Sudafrica, Ucraina e Polonia, il nuovo malware in questione è un loader in .NET soprannominato Caminho Loader, il quale utilizza la steganografia Least Significant Bit (LSB) per nascondere payload .NET in file immagine ospitati su piattaforme legittime.

Infine, ricercatori di sicurezza hanno osservato la versione 2.0 di Nocturnal Stealer (alias Vidar), infostealer progettato per sottrarre dati sensibili da sistemi compromessi. Tra le sue innovazioni sono d’interesse: la migrazione del codice da C++ a C; l’adozione di un’architettura multithread per eseguire in parallelo la raccolta simultanea di credenziali, cookie, chiavi di wallet e file sensibili; e avanzate tecniche di evasione e controlli anti-analisi. Nocturnal Stealer 2.0 ha inoltre ampliato la gamma di informazioni che può sottrarre e i suoi metodi di raccolta per aggirare la crittografia AppBound di Chrome.

Cybercrime: evoluzione delle infrastrutture e tecniche di accesso

Analisti hanno rilevato una nuova infrastruttura di Phishing-as-a-Service denominata Tykit, che prende di mira principalmente le credenziali di Microsoft 365 in settori come finanza, edilizia, IT e governativo su scala globale. La tecnica di attacco di Tykit si articola in più fasi concatenate: la prima parte dalla consegna del payload tramite un’immagine SVG malevola; subito dopo avviene un reindirizzamento verso un URL mostrando poi un meccanismo anti-bot CAPTCHA Cloudflare Turnstile (anti-automation); infine, superato il controllo, viene caricata una falsa pagina di login Microsoft 365 con un modulo per l’inserimento di nome utente e password.

Le funzionalità di Microsoft 365 sono state impiegate anche nel corso di una campagna denominata Jingle Thief, condotta da un avversario finanziariamente motivato operante dal Marocco, che sfrutta l’uso di gift card durante i periodi festivi per commettere frodi. L’attività, seguita sotto il cluster CL-CRI-1032, si sovrappone a gruppi pubblicamente tracciati come Atlas Lion e STORM-0539, prendendo di mira principalmente aziende globali nei settori della vendita al dettaglio e dei consumer services che fanno affidamento su servizi e infrastrutture basati sul cloud.

Una volta fatta breccia in un’azienda target, l’avversario cerca di ottenere il tipo e il livello di accesso necessari per emettere gift card non autorizzate, sfruttando funzioni di Microsoft 365 al fine di condurre ricognizioni e garantirsi la persistenza. Un’ulteriore novità riguarda attacchi basati su OAuth, un protocollo di autorizzazione che consente a un’applicazione di accedere alle risorse di un utente tramite l’emissione di token di accesso temporanei.

L’attaccante sfrutta una combinazione di tecniche per ottenere l’accesso iniziale agli account degli utenti cloud e, quando all’interno, crea un’applicazione OAuth (second-party) nel tenant dell’organizzazione configurandola con permessi elevati. L’app malevola, dotata di un “client secret” crittografico con una lunga durata, ottiene vari token OAuth (access token, refresh token e ID token) attraverso i quali riesce a mantenere l’accesso in modo autonomo.

Potendo quindi continuare a esfiltrare dati e muoversi lateralmente nell’ambiente senza essere rilevata facilmente, poiché nelle console di amministrazione apparirà come applicazione interna legittima; l’app mantiene un accesso persistente che può essere interrotto solo mediante la rimozione manuale della stessa e la revoca del client secret.

Weekly Threats Report è l’aggiornamento settimanale di Telsy con le principali novità sugli attacchi cyber e sui threat actor a livello globale, realizzato dal nostro team di Threat Intelligence & Response.

Il team è composto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Attraverso il monitoraggio costante di minacce cibernetiche ed eventi geopolitici, produce e fornisce alle organizzazioni informazioni utili per anticipare gli attacchi e comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence