Patchwork è tornato: il gruppo di hacker che spia i militari con un virus scritto in Python

Il gruppo di hacker Patchwork, noto anche come Dropping Elephant e Maha Grass, è tornato sotto i riflettori dopo una serie di attacchi mirati alle strutture di difesa pakistane. Nella loro ultima campagna, gli aggressori hanno utilizzato email di phishing contenenti archivi ZIP contenenti un progetto MSBuild nascosto. Una volta eseguito, attiva un downloader che installa malware scritto in Python.

Il malware può connettersi a un server remoto, eseguire moduli Python, eseguire comandi e facilitare la condivisione di file. Questa campagna ha utilizzato sofisticate tecniche stealth, che spaziano da ambienti di runtime modificati a canali di comunicazione nascosti e metodi di persistenza.

Dalla fine del 2025, il gruppo ha mantenuto una connessione con il nuovo trojan StreamSpy . Questo programma, precedentemente sconosciuto, utilizza i protocolli WebSocket e HTTP per separare il controllo e il trasferimento dei file. Le istruzioni del server vengono ricevute tramite WebSocket, mentre i file vengono intercettati e inviati tramite HTTP.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un’analisi condotta dall’azienda cinese QiAnXin ha rivelato che StreamSpy presenta alcune somiglianze con un altro malware chiamato Spyder, che si ritiene sia una variante della famiglia WarHawk associata al gruppo SideWinder. Spyder è utilizzato dal gruppo Patchwork dal 2023.

StreamSpy viene distribuito tramite archivi con nomi come “OPS-VII-SIR.zip” ospitati sul dominio “firebasescloudemail[.]com”. Il file eseguibile principale, “Annexure.exe”, raccoglie informazioni di sistema e può collegarsi al sistema tramite il registro, l’Utilità di pianificazione o un file LNK nella cartella di avvio. La comunicazione con il server di comando e controllo avviene tramite due canali: WebSocket e HTTP.

Le capacità del malware includono il download e l’apertura di file, l’esecuzione di comandi tramite diverse shell, la raccolta di informazioni sul file system e sulle unità connesse, il trasferimento e l’eliminazione di file e la visualizzazione del contenuto di cartelle specifiche. Alcuni comandi scaricano file ZIP crittografati, li decomprimono ed eseguono automaticamente il contenuto.

QiAnXin ha anche rilevato varianti di Spyder con funzionalità avanzate di raccolta dati distribuite sulla stessa risorsa. La firma digitale “Annexure.exe” corrisponde a quella di un altro trojan, ShadowAgent, attribuito al gruppo DoNot (noto anche come Brainworm). Nel novembre 2025, il 360 Threat Analysis Center ha classificato questo eseguibile come ShadowAgent.

Secondo i ricercatori cinesi, la comparsa di varianti di StreamSpy e Spyder indica che Maha Grass sta sviluppando attivamente il suo malware.

L’utilizzo dei canali WebSocket da parte di StreamSpy può essere visto come un tentativo di aggirare il filtraggio del traffico e nascondere l’attività di comando. Inoltre, la somiglianza dei campioni conferma che Patchwork e DoNot probabilmente condividono risorse e tecnologie.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.