Patchwork è tornato: il gruppo di hacker che spia i militari con un virus scritto in Python

Il gruppo di hacker Patchwork, noto anche come Dropping Elephant e Maha Grass, è tornato sotto i riflettori dopo una serie di attacchi mirati alle strutture di difesa pakistane. Nella loro ultima campagna, gli aggressori hanno utilizzato email di phishing contenenti archivi ZIP contenenti un progetto MSBuild nascosto. Una volta eseguito, attiva un downloader che installa malware scritto in Python.

Il malware può connettersi a un server remoto, eseguire moduli Python, eseguire comandi e facilitare la condivisione di file. Questa campagna ha utilizzato sofisticate tecniche stealth, che spaziano da ambienti di runtime modificati a canali di comunicazione nascosti e metodi di persistenza.

Dalla fine del 2025, il gruppo ha mantenuto una connessione con il nuovo trojan StreamSpy . Questo programma, precedentemente sconosciuto, utilizza i protocolli WebSocket e HTTP per separare il controllo e il trasferimento dei file. Le istruzioni del server vengono ricevute tramite WebSocket, mentre i file vengono intercettati e inviati tramite HTTP.

Un’analisi condotta dall’azienda cinese QiAnXin ha rivelato che StreamSpy presenta alcune somiglianze con un altro malware chiamato Spyder, che si ritiene sia una variante della famiglia WarHawk associata al gruppo SideWinder. Spyder è utilizzato dal gruppo Patchwork dal 2023.

StreamSpy viene distribuito tramite archivi con nomi come “OPS-VII-SIR.zip” ospitati sul dominio “firebasescloudemail[.]com”. Il file eseguibile principale, “Annexure.exe”, raccoglie informazioni di sistema e può collegarsi al sistema tramite il registro, l’Utilità di pianificazione o un file LNK nella cartella di avvio. La comunicazione con il server di comando e controllo avviene tramite due canali: WebSocket e HTTP.

Le capacità del malware includono il download e l’apertura di file, l’esecuzione di comandi tramite diverse shell, la raccolta di informazioni sul file system e sulle unità connesse, il trasferimento e l’eliminazione di file e la visualizzazione del contenuto di cartelle specifiche. Alcuni comandi scaricano file ZIP crittografati, li decomprimono ed eseguono automaticamente il contenuto.

QiAnXin ha anche rilevato varianti di Spyder con funzionalità avanzate di raccolta dati distribuite sulla stessa risorsa. La firma digitale “Annexure.exe” corrisponde a quella di un altro trojan, ShadowAgent, attribuito al gruppo DoNot (noto anche come Brainworm). Nel novembre 2025, il 360 Threat Analysis Center ha classificato questo eseguibile come ShadowAgent.

Secondo i ricercatori cinesi, la comparsa di varianti di StreamSpy e Spyder indica che Maha Grass sta sviluppando attivamente il suo malware.

L’utilizzo dei canali WebSocket da parte di StreamSpy può essere visto come un tentativo di aggirare il filtraggio del traffico e nascondere l’attività di comando. Inoltre, la somiglianza dei campioni conferma che Patchwork e DoNot probabilmente condividono risorse e tecnologie.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research