Netcrook Logo
👤 CRYSTALPROXY
🗓️ 06 Jan 2026   🌍 Europe

Furtività per progettazione: come i cybercriminali stanno trasformando in armi gli strumenti di tutti i giorni in una raffica globale di phishing

Una coalizione oscura di attori della minaccia sta sfruttando loader “commodity” e tecniche avanzate di evasione per colpire reti industriali e governative in tutta Europa e in Medio Oriente.

Tutto inizia con un’email che sembra come tante - magari un normale ordine d’acquisto o una familiare richiesta di lavoro. Ma dietro questi messaggi apparentemente innocui si nasconde un assalto informatico coordinato, che sta infiltrando silenziosamente obiettivi di alto valore: dai reparti produttivi di Milano agli uffici governativi di Riyadh. Ricerche recenti hanno portato alla luce una campagna sofisticata e multi-fase in cui più gruppi di hacker mettono in comune risorse e condividono infrastrutture, usando al contempo strumenti digitali di uso quotidiano come cavalli di Troia.

In breve

  • Gli attaccanti stanno prendendo di mira i settori manifatturiero e governativo in Italia, Finlandia e Arabia Saudita.
  • La campagna usa documenti Office armati, immagini SVG e archivi ZIP per distribuire malware.
  • Un loader “commodity” condiviso convoglia le vittime verso una gamma di malware per il furto di informazioni e per l’accesso remoto.
  • Le tecniche avanzate di evasione includono steganografia, process hollowing e bypass di UAC.
  • I dati rubati includono credenziali, wallet di criptovalute, segreti VPN e altro ancora.

Questa non è la solita operazione di phishing. Gli attaccanti combinano un targeting di precisione con un arsenale tecnico progettato per scivolare oltre anche le difese più attente. Le esche iniziali - documenti trappola e scorciatoie abilmente camuffate - sono il primo atto di un dramma in quattro fasi fatto di inganni. Ogni infezione parte da JavaScript pesantemente offuscato, che ricostruisce dinamicamente il proprio payload malevolo solo quando la vittima apre il file, eludendo gli strumenti di scansione di base.

Ma l’ingegnosità non si ferma qui. La fase successiva recupera malware nascosto, incorporato dentro file immagine dall’aspetto innocuo, ospitati su piattaforme affidabili come Archive.org. Nascondendo il codice in piena vista, i criminali aggirano i sistemi di monitoraggio di rete che altrimenti segnalerebbero download sospetti.

Gli attaccanti poi manipolano strumenti open source, come la libreria TaskScheduler di GitHub, usando un metodo di “assemblaggio ibrido”. Accodano funzioni malevole a codice legittimo, lo ricompilano e lo distribuiscono in modo che appaia autentico - mentre in segreto apre una backdoor. L’atto finale prevede il process hollowing: l’iniezione del malware vero e proprio in un’utility Windows dormiente (RegAsm.exe), rendendo l’infezione quasi invisibile mentre opera sotto le sembianze di una legittima attività di sistema.

Al centro di tutto c’è un versatile loader “commodity” - una sorta di centralino digitale - che indirizza le macchine infette a scaricare una gamma di malware, dai ladri di informazioni come PureLog e Katz Stealer ai trojan di accesso remoto (RAT) come AsyncRat e Remcos. La quantità di dati raccolti è impressionante: accessi del browser, wallet crypto, segreti 2FA, credenziali VPN e altro ancora, su risorse sia personali sia aziendali.

Ciò che rende questa campagna particolarmente pericolosa è la sua organizzazione su scala industriale. L’analisi forense rivela codice, infrastrutture e perfino convenzioni di denominazione condivise tra famiglie di malware distinte, suggerendo un ecosistema strettamente coordinato o un servizio criminale condiviso. Innovazioni recenti, come un nuovo metodo per bypassare il Controllo Account Utente (UAC) di Windows, confermano che questi attori stanno affinando continuamente le proprie tattiche.

Per le organizzazioni nel mirino - soprattutto quelle in settori critici - il messaggio è chiaro: la vigilanza non basta più. Con attaccanti che sfruttano strumenti digitali di uso quotidiano e piattaforme cloud legittime, solo difese stratificate, un monitoraggio robusto degli endpoint e una risposta rapida agli incidenti possono tenere il passo con questa minaccia in evoluzione. Mentre i confini tra malware “commodity” e minacce persistenti avanzate si fanno sempre più sfumati, è arrivata l’era della “furtività per progettazione”.

WIKICROOK

  • Commodity Loader: Un loader “commodity” è malware prodotto in massa e usato dai cybercriminali per distribuire diversi tipi di software malevolo, rendendo gli attacchi più semplici e accessibili.
  • Process Hollowing: Il process hollowing è una tecnica in cui il malware si nasconde nella memoria di un programma legittimo, permettendogli di eludere il rilevamento ed eseguire azioni malevole.
  • Steganografia: La steganografia nasconde messaggi o codice segreti all’interno di file di uso comune, come immagini o audio, rendendo difficile individuare le informazioni nascoste.
  • Trojan di accesso remoto (RAT): Un trojan di accesso remoto (RAT) è malware che consente agli attaccanti di controllare di nascosto il computer della vittima da qualsiasi luogo, abilitando furto e spionaggio.
  • Bypass UAC: Il bypass UAC è un metodo che gli attaccanti usano per eludere il Controllo Account Utente di Windows, consentendo al malware di ottenere privilegi elevati senza che l’utente lo sappia o lo approvi.
Phishing Attack Cybersecurity Threats Malware Techniques
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news