Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo di cyber spionaggio Patchwork — conosciuto anche come Hangover o Dropping Elephant e tracciato internamente da QiAnXin come APT-Q-36 — è attivo dal 2009 ed è ritenuto vicino all’Asia meridionale.
Nel corso degli anni ha preso di mira apparati governativi, settori militari, istituti di ricerca, diplomazia, industria ed enti educativi in diversi Paesi asiatici, conducendo attività di raccolta informazioni su larga scala.
Il Centro di Threat Intelligence di QiAnXin ha individuato un nuovo trojan attribuito all’organizzazione Maha Grass, caratterizzato dall’uso combinato di WebSocket e protocollo HTTP per comunicare con i server di comando e controllo. Il malware, denominato StreamSpy, recupera le istruzioni tramite una connessione WebSocket la cui interfaccia contiene la parola “stream”, mentre utilizza HTTP soprattutto per il trasferimento di file. Alcune sue componenti tecniche richiamano il downloader Spyder, già collegato alla stessa organizzazione.
| MD5 | nome del file | illustrare |
|---|---|---|
| 1c335be51fc637b50d41533f3bef2251 | OPS-VII-SIR.zip | Un file zip contenente il trojan StreamSpy. |
| f78fd7e4d92743ef6026de98291e8dee | Annexure.exe | Trojan StreamSpy, versione 1.0.0.1 |
| e0ac399cff3069104623cc38395bd946 | Elenco dei funzionari nominati per i premi 2025-2026.zip | Un file zip contenente il trojan StreamSpy. |
| c3c277cca23f3753721435da80cad1ea | Elenco dei funzionari nominati per i premi 2025-2026.exe | Trojan StreamSpy, versione 1.0.0.2 |
| e4a7a85feff6364772cf1d12d8153a69 | – | Trojan StreamSpy, versione 1.0.0.2 |
Tra i campioni analizzati figurano archivi compressi contenenti file eseguibili mascherati da documenti PDF, come nel caso di “OPS-VII-SIR.zip”, proveniente dal dominio firebasescloudemail[.]com. All’interno è presente la versione 1.0.0.1 di StreamSpy, che all’avvio estrae dalla propria area risorse una configurazione cifrata in formato JSON. Tale configurazione include server C2, parametri di rete e opzioni di persistenza. Il server C2 individuato in questa variante è “www.mydropboxbackup[.]com:443”.
Una volta attivo, il malware raccoglie numerose informazioni sul sistema infetto: nome host, utente, versione del sistema operativo, presenza di antivirus e vari identificatori hardware ottenuti tramite WMI, come UUID e numero di serie della scheda madre. I dati vengono uniti alle informazioni di identità presenti nella configurazione e inviati al percorso “/[prefisso]/auth” del server di controllo.
La persistenza viene realizzata solo se abilitata nella configurazione o se il trojan rileva di non trovarsi nel percorso previsto. Le modalità previste sono tre: creazione di attività pianificate, modifica della chiave RunOnce del registro di sistema oppure generazione di file LNK nella cartella di avvio. Una volta stabilita la connessione con il C2, il malware invia heartbeat periodici verso l’interfaccia “/[prefisso]/status” e apre un canale WebSocket verso “/[prefisso]/stream”, tramite il quale riceve comandi e invia gli output delle operazioni eseguite.
Le istruzioni supportate da StreamSpy sono numerose e includono l’esecuzione di comandi su shell, il download e l’apertura di file, il cambio della shell predefinita (cmd o PowerShell), la chiusura di sessioni attive, l’estrazione di archivi cifrati scaricati dal C2 e diverse operazioni su file e directory. Sono presenti anche funzioni di upload e download che sfruttano le interfacce “/sync” e “/fetch”. La versione 1.0.0.2, collegata ai domini “www.virtualworldsapinner[.]com”, introduce soltanto un percorso URL aggiuntivo (“cache”), senza altre modifiche sostanziali.
Le analisi hanno inoltre evidenziato connessioni con altri malware già associati a Maha Grass, tra cui varianti di Spyder. Alcuni campioni firmati digitalmente da “Fidus Software Consulting Inc.”, scaricati da domini come adobefileshare[.]com, utilizzano gli stessi metodi di cifratura della configurazione e condividono strutture operative simili, incluse funzioni di raccolta informazioni e distribuzione di payload zip crittografati. Funzionalità analoghe sono state rilevate anche in un ulteriore campione collegato alla gang Donot e a precedenti campagne del gruppo Gastrobrain.
| MD5 | nome del file | Informazioni sulla firma digitale |
|---|---|---|
| 0fe90212062957a529cba3938613c4da | vpn.exe | “Fidus Software Consulting Inc.” |
| df626ce2ad3d3dea415984a9d3839373 | JuD NEW MARKAZ DETAILS.exe | “Fidus Software Consulting Inc.” |
Le osservazioni del Centro QiAnXin indicano una continua evoluzione dell’arsenale del gruppo Maha Grass. L’adozione di WebSocket come canale principale per lo scambio di comandi sembra volta a ridurre la possibilità di intercettazione rispetto al solo traffico HTTP. L’analisi delle firme digitali e dei server utilizzati suggerisce anche un certo livello di condivisione di infrastrutture e strumenti con altri gruppi dell’area, come DuNaoChong.
Il rapporto conclude ricordando l’importanza di misure preventive essenziali: diffidare di link e allegati provenienti da fonti non verificate, evitare l’installazione di software ottenuto da canali non ufficiali, effettuare backup regolari e installare patch e aggiornamenti per ridurre la superficie d’attacco sfruttabile da minacce di questo tipo.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Innovazione
Cybercrime
Vulnerabilità
Innovazione