Il gruppo di hackerPatchwork, noto anche come Dropping Elephant e Maha Grass, è tornato sotto i riflettori dopo una serie di attacchi mirati alle strutture di difesa pakistane. Nella loro ultima campagna, gli aggressori hanno utilizzato email di phishing contenenti archivi ZIP contenenti un progetto MSBuild nascosto. Una volta eseguito, attiva un downloader che installa malware scritto in Python.
Il malware può connettersi a un server remoto, eseguire moduli Python, eseguire comandi e facilitare la condivisione di file. Questa campagna ha utilizzato sofisticate tecniche stealth, che spaziano da ambienti di runtime modificati a canali di comunicazione nascosti e metodi di persistenza.
Dalla fine del 2025, il gruppo ha mantenuto una connessione con il nuovo trojan StreamSpy . Questo programma, precedentemente sconosciuto, utilizza i protocolli WebSocket e HTTP per separare il controllo e il trasferimento dei file. Le istruzioni del server vengono ricevute tramite WebSocket, mentre i file vengono intercettati e inviati tramite HTTP.
Advertising
Un’analisi condotta dall’azienda cinese QiAnXin ha rivelato che StreamSpy presenta alcune somiglianze con un altro malware chiamato Spyder, che si ritiene sia una variante della famiglia WarHawk associata al gruppo SideWinder. Spyder è utilizzato dal gruppo Patchwork dal 2023.
StreamSpy viene distribuito tramite archivi con nomi come “OPS-VII-SIR.zip” ospitati sul dominio “firebasescloudemail[.]com”. Il file eseguibile principale, “Annexure.exe”, raccoglie informazioni di sistema e può collegarsi al sistema tramite il registro, l’Utilità di pianificazione o un file LNK nella cartella di avvio. La comunicazione con il server di comando e controllo avviene tramite due canali: WebSocket e HTTP.
Le capacità del malware includono il download e l’apertura di file, l’esecuzione di comandi tramite diverse shell, la raccolta di informazioni sul file system e sulle unità connesse, il trasferimento e l’eliminazione di file e la visualizzazione del contenuto di cartelle specifiche. Alcuni comandi scaricano file ZIP crittografati, li decomprimono ed eseguono automaticamente il contenuto.
QiAnXin ha anche rilevato varianti di Spyder con funzionalità avanzate di raccolta dati distribuite sulla stessa risorsa. La firma digitale “Annexure.exe” corrisponde a quella di un altro trojan, ShadowAgent, attribuito al gruppo DoNot (noto anche come Brainworm). Nel novembre 2025, il 360 Threat Analysis Center ha classificato questo eseguibile come ShadowAgent.
Secondo i ricercatori cinesi, la comparsa di varianti di StreamSpy e Spyder indica che Maha Grass sta sviluppando attivamente il suo malware.
Advertising
L’utilizzo dei canali WebSocket da parte di StreamSpy può essere visto come un tentativo di aggirare il filtraggio del traffico e nascondere l’attività di comando. Inoltre, la somiglianza dei campioni conferma che Patchwork e DoNot probabilmente condividono risorse e tecnologie.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.