Il gruppo di cyber spionaggio Patchwork — conosciuto anche come Hangover o Dropping Elephant e tracciato internamente da QiAnXin come APT-Q-36 — è attivo dal 2009 ed è ritenuto vicino all’Asia meridionale.
Nel corso degli anni ha preso di mira apparati governativi, settori militari, istituti di ricerca, diplomazia, industria ed enti educativi in diversi Paesi asiatici, conducendo attività di raccolta informazioni su larga scala.
Il Centro di Threat Intelligence di QiAnXin ha individuato un nuovo trojan attribuito all’organizzazione Maha Grass, caratterizzato dall’uso combinato di WebSocket e protocollo HTTP per comunicare con i server di comando e controllo. Il malware, denominato StreamSpy, recupera le istruzioni tramite una connessione WebSocket la cui interfaccia contiene la parola “stream”, mentre utilizza HTTP soprattutto per il trasferimento di file. Alcune sue componenti tecniche richiamano il downloader Spyder, già collegato alla stessa organizzazione.
| MD5 | nome del file | illustrare |
|---|---|---|
| 1c335be51fc637b50d41533f3bef2251 | OPS-VII-SIR.zip | Un file zip contenente il trojan StreamSpy. |
| f78fd7e4d92743ef6026de98291e8dee | Annexure.exe | Trojan StreamSpy, versione 1.0.0.1 |
| e0ac399cff3069104623cc38395bd946 | Elenco dei funzionari nominati per i premi 2025-2026.zip | Un file zip contenente il trojan StreamSpy. |
| c3c277cca23f3753721435da80cad1ea | Elenco dei funzionari nominati per i premi 2025-2026.exe | Trojan StreamSpy, versione 1.0.0.2 |
| e4a7a85feff6364772cf1d12d8153a69 | – | Trojan StreamSpy, versione 1.0.0.2 |
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tra i campioni analizzati figurano archivi compressi contenenti file eseguibili mascherati da documenti PDF, come nel caso di “OPS-VII-SIR.zip”, proveniente dal dominio firebasescloudemail[.]com. All’interno è presente la versione 1.0.0.1 di StreamSpy, che all’avvio estrae dalla propria area risorse una configurazione cifrata in formato JSON. Tale configurazione include server C2, parametri di rete e opzioni di persistenza. Il server C2 individuato in questa variante è “www.mydropboxbackup[.]com:443”.
Una volta attivo, il malware raccoglie numerose informazioni sul sistema infetto: nome host, utente, versione del sistema operativo, presenza di antivirus e vari identificatori hardware ottenuti tramite WMI, come UUID e numero di serie della scheda madre. I dati vengono uniti alle informazioni di identità presenti nella configurazione e inviati al percorso “/[prefisso]/auth” del server di controllo.
La persistenza viene realizzata solo se abilitata nella configurazione o se il trojan rileva di non trovarsi nel percorso previsto. Le modalità previste sono tre: creazione di attività pianificate, modifica della chiave RunOnce del registro di sistema oppure generazione di file LNK nella cartella di avvio. Una volta stabilita la connessione con il C2, il malware invia heartbeat periodici verso l’interfaccia “/[prefisso]/status” e apre un canale WebSocket verso “/[prefisso]/stream”, tramite il quale riceve comandi e invia gli output delle operazioni eseguite.
Le istruzioni supportate da StreamSpy sono numerose e includono l’esecuzione di comandi su shell, il download e l’apertura di file, il cambio della shell predefinita (cmd o PowerShell), la chiusura di sessioni attive, l’estrazione di archivi cifrati scaricati dal C2 e diverse operazioni su file e directory. Sono presenti anche funzioni di upload e download che sfruttano le interfacce “/sync” e “/fetch”. La versione 1.0.0.2, collegata ai domini “www.virtualworldsapinner[.]com”, introduce soltanto un percorso URL aggiuntivo (“cache”), senza altre modifiche sostanziali.
Le analisi hanno inoltre evidenziato connessioni con altri malware già associati a Maha Grass, tra cui varianti di Spyder. Alcuni campioni firmati digitalmente da “Fidus Software Consulting Inc.”, scaricati da domini come adobefileshare[.]com, utilizzano gli stessi metodi di cifratura della configurazione e condividono strutture operative simili, incluse funzioni di raccolta informazioni e distribuzione di payload zip crittografati. Funzionalità analoghe sono state rilevate anche in un ulteriore campione collegato alla gang Donot e a precedenti campagne del gruppo Gastrobrain.
| MD5 | nome del file | Informazioni sulla firma digitale |
|---|---|---|
| 0fe90212062957a529cba3938613c4da | vpn.exe | “Fidus Software Consulting Inc.” |
| df626ce2ad3d3dea415984a9d3839373 | JuD NEW MARKAZ DETAILS.exe | “Fidus Software Consulting Inc.” |
Le osservazioni del Centro QiAnXin indicano una continua evoluzione dell’arsenale del gruppo Maha Grass. L’adozione di WebSocket come canale principale per lo scambio di comandi sembra volta a ridurre la possibilità di intercettazione rispetto al solo traffico HTTP. L’analisi delle firme digitali e dei server utilizzati suggerisce anche un certo livello di condivisione di infrastrutture e strumenti con altri gruppi dell’area, come DuNaoChong.
Il rapporto conclude ricordando l’importanza di misure preventive essenziali: diffidare di link e allegati provenienti da fonti non verificate, evitare l’installazione di software ottenuto da canali non ufficiali, effettuare backup regolari e installare patch e aggiornamenti per ridurre la superficie d’attacco sfruttabile da minacce di questo tipo.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
