Netcrook Logo
👤 TRUSTBREAKER
🗓️ 13 Jan 2026  

Furtività a fasi: come la campagna SHADOW#REACTOR fa passare Remcos RAT oltre le difese

Una nuova ondata di attacchi malware multi-stage si infiltra silenziosamente nelle reti aziendali, sfruttando strumenti di Windows e payload solo testuali per eludere il rilevamento.

Tutto inizia con un clic - un’interazione apparentemente innocua. Ma per un numero crescente di aziende, quella singola azione sta aprendo la porta a una nuova e sofisticata razza di cyberattacchi. I ricercatori hanno individuato SHADOW#REACTOR, una campagna malware che si insinua nei sistemi Windows attraverso una serie di manovre astute, arrivando infine a concedere agli attaccanti pieno accesso remoto - il tutto restando quasi invisibile alle difese tradizionali.

La catena di infezione orchestrata da SHADOW#REACTOR è una lezione magistrale di elusione. Inizia con uno script Visual Basic offuscato - spesso recapitato tramite un’esca di social engineering convincente. Quando un utente abbocca, lo script viene avviato con wscript.exe, avviando in silenzio un downloader PowerShell codificato in Base64. Questo script contatta un server remoto, non per scaricare un ingombrante file malevolo, ma per ottenere payload frammentati e basati su testo - minuscoli pezzi dall’aspetto innocuo, più difficili da segnalare per i software di sicurezza.

Questi frammenti vengono riassemblati sulla macchina della vittima e decodificati in memoria da un loader protetto con .NET Reactor. Questo loader, schermato da occhi indiscreti e strumenti di analisi, recupera la configurazione finale di Remcos RAT - un potente strumento di accesso remoto che offre agli attaccanti un controllo occulto. Ma la campagna non si ferma qui: sfrutta MSBuild.exe, uno strumento Microsoft legittimo, per avviare la backdoor. Questa tecnica di "living-off-the-land" consente al malware di confondersi con la normale attività di sistema, rendendo il rilevamento ancora più difficile.

Ciò che rende SHADOW#REACTOR particolarmente insidioso è la sua resilienza. Il processo di infezione include meccanismi di auto-ripristino: se un frammento di payload manca o è incompleto, lo script si fermerà, riscaricherà e riproverà, riducendo la probabilità di un attacco fallito. Sono integrati controlli anti-debugging e anti-macchina virtuale, che frustrano ulteriormente gli analisti di sicurezza e le sandbox automatizzate.

La modularità della campagna e l’uso di intermediari solo testuali indicano un framework di loader in attivo sviluppo - progettato per mantenere il payload di Remcos RAT portabile e resistente all’analisi statica. Sebbene le motivazioni finali degli attaccanti restino poco chiare, i loro metodi sono in linea con quelli degli initial access broker: cybercriminali che compromettono reti e vendono l’accesso ad altri attori della minaccia a scopo di lucro.

Per i difensori, questa campagna è un colpo di avvertimento. L’uso di strumenti Windows di tutti i giorni, loader residenti in memoria e payload frammentati mostra quanto il malware moderno sia diventato sofisticato e adattabile. Le difese tradizionali, basate su firme e analisi statica, vengono superate da avversari che prosperano nelle zone grigie dei sistemi operativi.

Mentre SHADOW#REACTOR si diffonde silenziosamente, le sue tattiche prefigurano un futuro in cui il malware è meno un file e più una serie di trucchi ingegnosi. La lezione per i team di sicurezza è chiara: vigilanza, monitoraggio comportamentale e una sana dose di scetticismo sono più importanti che mai nella lotta contro minacce invisibili.

WIKICROOK

  • Remcos RAT: Remcos RAT è un trojan di accesso remoto che consente agli attaccanti di controllare i sistemi infetti, rubare dati, spiare e distribuire ulteriore malware da remoto.
  • Living: Living off the Land significa che gli attaccanti usano strumenti di sistema fidati (LOLBins) per azioni malevole, rendendo le loro attività furtive e difficili da rilevare.
  • Script offuscato: Uno script offuscato è codice deliberatamente rimescolato o stratificato per renderne difficile l’interpretazione o il rilevamento da parte di persone e strumenti di sicurezza.
  • .NET Reactor: .NET Reactor è uno strumento che protegge le applicazioni .NET dal reverse engineering, dalla manomissione e dall’uso non autorizzato tramite funzionalità di offuscamento e licensing.
  • Payload: Un payload è la parte dannosa di un cyberattacco, come un virus o uno spyware, consegnata tramite email o file malevoli quando una vittima interagisce con essi.
SHADOW#REACTOR Remcos RAT cyberattack
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news