Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Un'ambasciata europea situata nella capitale indiana Nuova Delhi, nonché numerose organizzazioni in Sri Lanka, Pakistan e Bangladesh, sono emerse come obiettivo di una nuova campagna orchestrata da un attore della minaccia noto come SideWinder nel settembre 2025.
L'attività "rivela una notevole evoluzione nelle TTP di SideWinder, in particolare l'adozione di una nuova catena di infezioni basata su PDF e ClickOnce, oltre ai vettori di exploit di Microsoft Word precedentemente documentati", hanno affermato i ricercatori di Trellix Ernesto Fernández Provecho e Pham Duy Phuc in un rapporto pubblicato la scorsa settimana.
Gli attacchi, che hanno comportato l'invio di e-mail di spear-phishing in quattro ondate da marzo a settembre 2025, sono progettati per eliminare famiglie di malware come ModuleInstaller e StealerBot per raccogliere informazioni sensibili da host compromessi.
Mentre ModuleInstaller funge da downloader per i payload di fase successiva, tra cui StealerBot, quest'ultimo è un impianto .NET in grado di avviare una shell inversa, distribuire malware aggiuntivo e raccogliere un'ampia gamma di dati dagli host compromessi, tra cui screenshot, sequenze di tasti, password e file.
È opportuno sottolineare che sia ModuleInstaller che StealerBot sono stati documentati pubblicamente per la prima volta da Kaspersky nell'ottobre 2024 come parte di attacchi sferrati dal gruppo di hacker contro entità di alto profilo e infrastrutture strategiche in Medio Oriente e Africa.
Ancora nel maggio 2025, Acronis ha rivelato gli attacchi di SideWinder rivolti a istituzioni governative in Sri Lanka, Bangladesh e Pakistan, utilizzando documenti pieni di malware soggetti a noti difetti di Microsoft Office per lanciare una catena di attacchi in più fasi e infine diffondere StealerBot.
L'ultima serie di attacchi, osservata da Trellix dopo il 1° settembre 2025 e rivolta alle ambasciate indiane, prevede l'uso di documenti Microsoft Word e PDF in e-mail di phishing con titoli come "Credenziali della riunione interministeriale.pdf" o "Conflitto India-Pakistan – Analisi strategica e tattica del maggio 2025.docx". I messaggi vengono inviati dal dominio "mod.gov.bd.pk-mail[.]org" nel tentativo di imitare il Ministero della Difesa del Pakistan.
"Il vettore di infezione iniziale è sempre lo stesso: un file PDF che non può essere visualizzato correttamente dalla vittima o un documento Word che contiene un exploit", ha affermato Trellix. "I file PDF contengono un pulsante che invita la vittima a scaricare e installare l'ultima versione di Adobe Reader per visualizzare il contenuto del documento."
In questo modo, tuttavia, si attiva il download di un'applicazione ClickOnce da un server remoto ("mofa-gov-bd.filenest[.]live"), che, una volta avviata, carica lateralmente una DLL dannosa ("DEVOBJ.dll"), mentre contemporaneamente invia alle vittime un documento PDF escamotage.
L'applicazione ClickOnce è un eseguibile legittimo di MagTek Inc. ("ReaderConfiguration.exe") che si spaccia per Adobe Reader ed è firmato con una firma valida per evitare di sollevare alcun allarme. Inoltre, le richieste al server di comando e controllo (C2) sono limitate all'Asia meridionale e il percorso per scaricare il payload viene generato dinamicamente, complicando gli sforzi di analisi.
La DLL non autorizzata, da parte sua, è progettata per decifrare e avviare un caricatore .NET denominato ModuleInstaller, che poi procede a profilare il sistema infetto e a distribuire il malware StealerBot.
I risultati indicano uno sforzo continuo da parte degli autori di minacce persistenti per perfezionare il loro modus operandi e aggirare le difese di sicurezza per raggiungere i loro obiettivi.
"Le campagne di phishing multi-onda dimostrano l'adattabilità del gruppo nel creare esche altamente specifiche per vari obiettivi diplomatici, a dimostrazione di una sofisticata comprensione dei contesti geopolitici", ha affermato Trellix. "L'uso costante di malware personalizzati, come ModuleInstaller e StealerBot, abbinato all'intelligente sfruttamento di applicazioni legittime per il side-loading, sottolinea l'impegno di SideWinder verso sofisticate tecniche di evasione e obiettivi di spionaggio."
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube