Netcrook Logo
👤 CIPHERWARDEN
🗓️ 04 Nov 2025   🗂️ Threats    

La Fattura Trojan: Hacker nordcoreani scatenano HttpTroy in un attacco furtivo alla Corea del Sud

Una falsa fattura VPN nasconde una sofisticata backdoor, esponendo la Corea del Sud a una nuova ondata di spionaggio informatico dall’esercito ombra digitale della Corea del Nord.

In breve

  • Il gruppo di hacker nordcoreano Kimsuky ha distribuito una nuova backdoor, HttpTroy, camuffata da fattura VPN.
  • L’attacco ha utilizzato una catena di infezione a più stadi, comprendente un dropper, un loader e la backdoor finale.
  • HttpTroy concede agli attaccanti il pieno controllo: furto di file, screenshot, comandi remoti e altro ancora.
  • Offuscamento e falso branding di cybersicurezza sudcoreana hanno aiutato il malware a eludere il rilevamento.
  • La campagna rispecchia tattiche nordcoreane già viste con i malware BLINDINGCAN e Comebacker del Lazarus Group.

Giochi d’ombra: la scena del crimine

Immaginate: un dipendente ignaro in Corea del Sud apre un’email, l’oggetto sembra solo un’altra fattura di routine per un servizio VPN. Ma all’interno del file ZIP allegato si nasconde un mutaforma digitale - una backdoor chiamata HttpTroy, progettata non solo per superare le difese, ma per impossessarsi delle chiavi dell’intero sistema. In quell’istante, a chilometri di distanza, operatori cyber nordcoreani ottengono un punto d’appoggio silenzioso dietro le linee nemiche.

Come è entrato HttpTroy

Kimsuky, un noto gruppo di hacker nordcoreani, sarebbe dietro questa campagna mirata di spear-phishing. Il trucco era semplice ma efficace: un archivio ZIP che si spacciava per una fattura VPN, contenente un file screensaver di Windows (.SCR) con lo stesso nome. Una volta aperto, questo file avviava un processo di infezione in tre fasi. Prima, un piccolo dropper prepara il terreno. Poi, un loader chiamato MemLoad crea un’attività pianificata chiamata “AhnlabUpdate”, prendendo in prestito credibilità da una rinomata azienda di cybersicurezza sudcoreana. Infine, la backdoor HttpTroy viene decriptata e rilasciata.

Per tenere la vittima all’oscuro, viene mostrata una fattura PDF esca - un vecchio trucco da prestigiatore per distrarre mentre il vero spettacolo avviene dietro le quinte. Nel frattempo, HttpTroy si insedia, stabilendo comunicazione con un server di comando remoto tramite richieste HTTP camuffate, pronto a caricare o scaricare file, catturare screenshot ed eseguire comandi, tutto senza insospettire l’utente legittimo.

Furtività e sofisticazione: giochi di prestigio tecnici

HttpTroy non è solo furtivo - è progettato per resistere all’analisi. Il malware avvolge il proprio codice in strati di camuffamento digitale, nascondendo istruzioni critiche e ricostruendole solo durante l’esecuzione. Questa offuscazione dinamica è come una spia che cambia costantemente travestimento, assicurando che anche se gli analisti riescono a intravederlo, non possano facilmente svelarne i segreti. Imitando software affidabili e usando crittografia personalizzata, HttpTroy rende il rilevamento una partita a guardie e ladri.

Questa campagna segue un copione nordcoreano già noto. Negli ultimi anni, gruppi come Lazarus hanno distribuito malware altrettanto complessi - come BLINDINGCAN e Comebacker - negli attacchi a obiettivi dal Canada all’Europa. Questi strumenti danno agli attaccanti un accesso totale: dal furto di file e spionaggio tramite webcam, fino a cancellare le tracce e sparire senza lasciare segni.

Perché è importante: geopolitica e corsa agli armamenti cyber

Le unità cyber della Corea del Nord sono diventate mercenari digitali al servizio del regime, integrando le casse statali e raccogliendo informazioni attraverso campagne incessanti. Le loro tattiche in evoluzione riflettono una tendenza più ampia: gli attacchi informatici non sono più operazioni di forza bruta, ma colpi di precisione - accuratamente progettati, altamente mirati e sempre più difficili da rintracciare. La Corea del Sud, spesso nel mirino, si trova in una battaglia costante per tenere il passo.

L’incidente HttpTroy è un chiaro promemoria: nel campo di battaglia digitale di oggi, le armi più pericolose sono spesso nascoste in bella vista - travestite da fatture, aggiornamenti o file di uso quotidiano. Mentre gli attori nordcoreani affinano i loro strumenti, i difensori devono rispondere con creatività, vigilanza e adattabilità. La guerra per il territorio digitale si combatte non solo con i firewall, ma con occhi attenti e menti ancora più affilate.

WIKICROOK

  • Spear: Lo spear phishing è un attacco informatico mirato che utilizza email personalizzate per indurre specifici individui o organizzazioni a rivelare informazioni sensibili.
  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere il controllo segreto.
  • Offuscamento: L’offuscamento è la pratica di mascherare codice o dati per renderli difficili da comprendere, analizzare o rilevare da parte di persone o strumenti di sicurezza.
  • Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
  • Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news