Il gruppo di cyber spionaggio Patchwork — conosciuto anche come Hangover o Dropping Elephant e tracciato internamente da QiAnXin come APT-Q-36 — è attivo dal 2009 ed è ritenuto vicino all’Asia meridionale.
Nel corso degli anni ha preso di mira apparati governativi, settori militari, istituti di ricerca, diplomazia, industria ed enti educativi in diversi Paesi asiatici, conducendo attività di raccolta informazioni su larga scala.
Il Centro di Threat Intelligence di QiAnXin ha individuato un nuovo trojan attribuito all’organizzazione Maha Grass, caratterizzato dall’uso combinato di WebSocket e protocollo HTTP per comunicare con i server di comando e controllo. Il malware, denominato StreamSpy, recupera le istruzioni tramite una connessione WebSocket la cui interfaccia contiene la parola “stream”, mentre utilizza HTTP soprattutto per il trasferimento di file. Alcune sue componenti tecniche richiamano il downloader Spyder, già collegato alla stessa organizzazione.
MD5
nome del file
illustrare
1c335be51fc637b50d41533f3bef2251
OPS-VII-SIR.zip
Un file zip contenente il trojan StreamSpy.
f78fd7e4d92743ef6026de98291e8dee
Annexure.exe
Trojan StreamSpy, versione 1.0.0.1
e0ac399cff3069104623cc38395bd946
Elenco dei funzionari nominati per i premi 2025-2026.zip
Un file zip contenente il trojan StreamSpy.
c3c277cca23f3753721435da80cad1ea
Elenco dei funzionari nominati per i premi 2025-2026.exe
Trojan StreamSpy, versione 1.0.0.2
e4a7a85feff6364772cf1d12d8153a69
–
Trojan StreamSpy, versione 1.0.0.2
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Tra i campioni analizzati figurano archivi compressi contenenti file eseguibili mascherati da documenti PDF, come nel caso di “OPS-VII-SIR.zip”, proveniente dal dominio firebasescloudemail[.]com. All’interno è presente la versione 1.0.0.1 di StreamSpy, che all’avvio estrae dalla propria area risorse una configurazione cifrata in formato JSON. Tale configurazione include server C2, parametri di rete e opzioni di persistenza. Il server C2 individuato in questa variante è “www.mydropboxbackup[.]com:443”.
Una volta attivo, il malware raccoglie numerose informazioni sul sistema infetto: nome host, utente, versione del sistema operativo, presenza di antivirus e vari identificatori hardware ottenuti tramite WMI, come UUID e numero di serie della scheda madre. I dati vengono uniti alle informazioni di identità presenti nella configurazione e inviati al percorso “/[prefisso]/auth” del server di controllo.
La persistenza viene realizzata solo se abilitata nella configurazione o se il trojan rileva di non trovarsi nel percorso previsto. Le modalità previste sono tre: creazione di attività pianificate, modifica della chiave RunOnce del registro di sistema oppure generazione di file LNK nella cartella di avvio. Una volta stabilita la connessione con il C2, il malware invia heartbeat periodici verso l’interfaccia “/[prefisso]/status” e apre un canale WebSocket verso “/[prefisso]/stream”, tramite il quale riceve comandi e invia gli output delle operazioni eseguite.
Le istruzioni supportate da StreamSpy sono numerose e includono l’esecuzione di comandi su shell, il download e l’apertura di file, il cambio della shell predefinita (cmd o PowerShell), la chiusura di sessioni attive, l’estrazione di archivi cifrati scaricati dal C2 e diverse operazioni su file e directory. Sono presenti anche funzioni di upload e download che sfruttano le interfacce “/sync” e “/fetch”. La versione 1.0.0.2, collegata ai domini “www.virtualworldsapinner[.]com”, introduce soltanto un percorso URL aggiuntivo (“cache”), senza altre modifiche sostanziali.
Le analisi hanno inoltre evidenziato connessioni con altri malware già associati a Maha Grass, tra cui varianti di Spyder. Alcuni campioni firmati digitalmente da “Fidus Software Consulting Inc.”, scaricati da domini come adobefileshare[.]com, utilizzano gli stessi metodi di cifratura della configurazione e condividono strutture operative simili, incluse funzioni di raccolta informazioni e distribuzione di payload zip crittografati. Funzionalità analoghe sono state rilevate anche in un ulteriore campione collegato alla gang Donot e a precedenti campagne del gruppo Gastrobrain.
Le osservazioni del Centro QiAnXin indicano una continua evoluzione dell’arsenale del gruppo Maha Grass. L’adozione di WebSocket come canale principale per lo scambio di comandi sembra volta a ridurre la possibilità di intercettazione rispetto al solo traffico HTTP. L’analisi delle firme digitali e dei server utilizzati suggerisce anche un certo livello di condivisione di infrastrutture e strumenti con altri gruppi dell’area, come DuNaoChong.
Il rapporto conclude ricordando l’importanza di misure preventive essenziali: diffidare di link e allegati provenienti da fonti non verificate, evitare l’installazione di software ottenuto da canali non ufficiali, effettuare backup regolari e installare patch e aggiornamenti per ridurre la superficie d’attacco sfruttabile da minacce di questo tipo.
#sicurezza informatica
#spionaggio
#trojan
APT-Q-36
attacchi informatici
cyber spionaggio
gruppi di hacker
http
Maha Grass
Malware
minacce
Patchwork
sicurezza dei dati
StreamSpy
websocket
Redazione La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Nel panorama dei forum underground esistono attori che operano in modo episodico, alla ricerca di un singolo colpo mediatico, e altri che costruiscono nel tempo una pipeline quasi industriale di comp...
Nel contesto odierno, proteggere una rete richiede molto più che impostare una password complessa. Un attacco informatico contro una rete wireless segue un percorso strutturato che evolve dal monitor...
Il DPO, ma anche il consulente privacy, interagisce in modo significativo con il mondo dell’IT. Purtroppo non sempre lo fa in modo corretto, soprattutto perché alcuni falsi miti provocano quel rumo...
Il post 462 del canale ufficiale di Durov ha attivato subito la “modalità urlo”: “Fine dell’internet libero. L’internet libero sta diventando uno strumento di controllo”. Niente auguri pe...
Il mercato clandestino del cybercrime continua a evolversi rapidamente, alimentato da gruppi specializzati che progettano e vendono strumenti per truffe digitali sempre più sofisticate. Tra questi, u...
