Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Una campagna osservata nell’aprile 2026 ha utilizzato email di spear-phishing con file LNK dannosi o download eseguibili ospitati su Google Cloud Storage. Il payload consegnato ha installato un driver kernel chiamato PoisonX insieme a un RAT modulare denominato 10FXRAT, consentendo agli attaccanti di ottenere privilegi a livello del kernel, disabilitare strumenti di sicurezza e nascondere attività dannose. Varianti successive hanno anche adottato tattiche BYOVD attraverso driver firmati legittimi come EneIo64.sys and procexp.sys. L’attività è stata osservata colpire organizzazioni in Giappone e Cina.
Indagine
Il report descrive l’intera catena di esecuzione, iniziando con un downloader basato su LNK che invoca curl.exe, per poi passare ai componenti PXDropper che distribuiscono i moduli driver PoisonX e 10FXRAT. Vengono inoltre descritte le routine IOCTL basate su driver utilizzate per terminare processi relativi alla sicurezza e nascondere il traffico di rete. I ricercatori hanno documentato controlli anti-analisi, modifiche del registro, creazione di servizi e metodi di persistenza, e hanno elencato gli indirizzi IP di comando e controllo codificati associati all’operazione.
Mitigazione
I difensori dovrebbero monitorare attività impreviste di installazione di driver, specialmente driver non firmati o sospettosamente firmati, e la creazione di servizi con nomi di file di tipo HID randomizzati. La rilevazione dovrebbe anche coprire le modifiche al registro che aggiungono esclusioni di Microsoft Defender o disabilitano i servizi Defender. Il traffico in uscita verso gli intervalli IP di comando e controllo identificati dovrebbe essere bloccato, e il monitoraggio della rete dovrebbe cercare il valore magico 0x58463031 nel payload TCP.
Risposta
Se questa attività è rilevata, isolare immediatamente l’endpoint colpito, scaricare il driver PoisonX dove possibile e terminare tutti i processi 10FXRAT. Ripristinare le impostazioni del registro alterate, riattivare le protezioni di Microsoft Defender e sostituire i file modificati con versioni pulite provenienti da fonti affidabili. Andrebbe poi eseguita un’indagine forense completa per identificare i meccanismi di persistenza e rivedere il traffico verso i server di comando e controllo noti.
"graph TB %% Class definitions classDef action fill:#ffcc99 classDef tool fill:#99ff99 classDef malware fill:#ff9966 classDef process fill:#ccccff %% Nodes email["<b>Strumento</b> – <b>Nome</b>: Email di phishing<br/><b>Descrizione</b>: Email mirata con link a Google Cloud Storage dannoso"] class email tool initial_access_phishing["<b>Azione</b> – <b>T1566.002 Spearphishing Link</b><br/>L’attaccante invia un’email contenente un link a un file LNK o EXE dannoso"] class initial_access_phishing action lNK_file["<b>Strumento</b> – <b>Nome</b>: Collegamento LNK Malevolo<br/><b>Descrizione</b>: Collegamento che esegue curl.exe per recuperare il dropper"] class lNK_file tool curl_download["<b>Processo</b> – <b>Nome</b>: curl.exe<br/><b>Azione</b>: Scarica il payload PXDropper dal server remoto"] class curl_download process pxdropper["<b>Malware</b> – <b>Nome</b>: PXDropper<br/><b>Descrizione</b>: Dropper che istituisce la persistenza e prepara l’escalation dei privilegi"] class pxdropper malware persistence_service["<b>Azione</b> – <b>T1547.009 Modifica Collegamento</b><br/>Crea o modifica un collegamento per ottenere avvio automatico"] class persistence_service action registry_run["<b>Azione</b> – <b>T1547.001 Chiavi di esecuzione del registro/Esecuzione automatica all’avvio</b><br/>Aggiunge un’entry Run del registro per l’esecuzione automatica"] class registry_run action service_creation["<b>Azione</b> – <b>T1543.003 Creazione o Modifica di Processo di Sistema: Servizio Windows</b><br/>Installa un servizio Windows per eseguire il dropper all’avvio"] class service_creation action priv_esc_exploit["<b>Azione</b> – <b>T1068 Sfruttamento per Escalation dei Privilegi</b><br/>Sfrutta una vulnerabilità per caricare un driver firmato"] class priv_esc_exploit action driver_install["<b>Malware</b> – <b>Nome</b>: Driver PoisonX<br/><b>Descrizione</b>: Driver kernel firmato caricato come servizio (BYOVD)"] class driver_install malware kernel_privilege["<b>Azione</b> – <b>T1547.006 Avvio automatico all’avvio o logon</b><br/>Il driver kernel concede privilegi a livello SYSTEM"] class kernel_privilege action defense_evasion["<b>Azione</b> – <b>T1497.001 Evasione Virtualizzazione/Sandbox</b><br/>Esegue controlli per ambienti di analisi"] class defense_evasion action rootkit["<b>Azione</b> – <b>T1014 Rootkit</b><br/>Intercetta le API del kernel per nascondere processi e traffico di rete"] class rootkit action discovery_process["<b>Azione</b> – <b>T1057 Scoperta di processo</b><br/>Scansiona i processi in esecuzione sull’host"] class discovery_process action discovery_security["<b>Azione</b> – <b>T1518.001 Scoperta del Software di Sicurezza</b><br/>Rileva prodotti di sicurezza installati"] class discovery_security action defense_impair["<b>Azione</b> – <b>Compromissione delle Difese</b><br/>Usa comandi IOCTL del driver per terminare i processi dei prodotti di sicurezza"] class defense_impair action c2_ratat["<b>Malware</b> – <b>Nome</b>: 10FXRAT<br/><b>Descrizione</b>: Strumento di accesso remoto che crea un proxy SOCKS5 interno"] class c2_ratat malware c2_communication["<b>Azione</b> – <b>T1219 Strumenti di Accesso Remoto</b><br/>Stabilisce un canale di comando e controllo crittografato con l’attaccante"] class c2_communication action proxy_setup["<b>Azione</b> – <b>T1090 Proxy</b><br/>Imposta un tunnel SOCKS5 interno per l’indirizzamento del traffico"] class proxy_setup action additional_mods["<b>Azione</b> – <b>Capacità Aggiuntive</b><br/>Plugin modulari forniscono keylogging, furto di credenziali e raccolta di portafogli di criptovaluta"] class additional_mods action %% Connessioni che mostrano il flusso d’attacco email –>|consegna| initial_access_phishing initial_access_phishing –>|fornisce| lNK_file lNK_file –>|esegue| curl_download curl_download –>|scarica| pxdropper pxdropper –>|crea| persistence_service persistence_service –>|registra| service_creation service_creation –>|esegue| pxdropper pxdropper –>|aggiunge| registry_run pxdropper –>|usa| priv_esc_exploit priv_esc_exploit –>|installa| driver_install driver_install –>|concede| kernel_privilege kernel_privilege –>|abilita| rootkit rootkit –>|esegue| defense_evasion rootkit –>|esegue| discovery_process rootkit –>|esegue| discovery_security discovery_process –>|abilita| defense_impair pxdropper –>|rilascia| c2_ratat c2_ratat –>|usa| c2_communication c2_communication –>|stabilisce| proxy_setup proxy_setup –>|supporta| additional_mods "
Flusso d’attacco
Rilevamenti
Utilizzo Sospetto di CURL (tramite cmdline)
Visualizza
Possibili Punti di Persistenza [ASEPs – Hive Software/NTUSER] (tramite evento di registro)
Visualizza
Disabilitazione Protezioni di Windows Defender (tramite evento di registro)
Visualizza
Possibile File LNK Malevolo con Doppia Estensione (tramite cmdline)
Visualizza
Possibilità di Esecuzione attraverso Linee di Comando PowerShell Nascoste (tramite cmdline)
Visualizza
Chiama Classi/Metodi .NET Sospetti da CommandLine di Powershell (tramite creazione di processo)
Visualizza
Esecuzione di Processi di Sistema da Percorsi Insoliti (tramite creazione di processo)
Visualizza
Chiama Metodi .NET Sospetti da Powershell (tramite powershell)
Visualizza
Modifiche Sospette delle Preferenze di Windows Defender (tramite powershell)
Visualizza
Dominio Storage di Google Api Risolto da Processo Insolito (tramite dns_query)
Visualizza
IOCs (HashSha256) per rilevare: Campagna di Attacco Basata su Driver PoisonX Rivolta alle Organizzazioni Giapponesi Parte 2
Visualizza
IOCs (HashSha256) per rilevare: Campagna di Attacco Basata su Driver PoisonX Rivolta alle Organizzazioni Giapponesi Parte 1
Visualizza
IOCs (SourceIP) per rilevare: Campagna di Attacco Basata su Driver PoisonX Rivolta alle Organizzazioni Giapponesi
Visualizza
IOCs (DestinationIP) per rilevare: Campagna di Attacco Basata su Driver PoisonX Rivolta alle Organizzazioni Giapponesi
Visualizza
Rilevamento di Comunicazione C2 di 10FXRAT [Connessione di Rete di Windows]
Visualizza
Rilevamento di Comandi di Disabilitazione di 10FXRAT e Servizi di Sicurezza [Creazione di Processo di Windows]
Visualizza
Persistenza di Malware tramite Modifiche di Windows Defender e Chiavi di Esecuzione [Evento di Registro di Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Prevolo di Telemetria & Baseline deve essere passato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrazione dell’attacco e comandi:
L’attaccante inietta inizialmente un payload shellcode personalizzato inusoclient64.exeper ottenere un appoggio su processo affidato (T1574.009). Con il processo compromesso, eseguono una linea di comando PowerShell che aggiunge la cartella del payload malevolo alla lista di esclusione di Windows Defender (T1564.012). Infine, disabilitano i servizi di sicurezza fondamentali utilizzando una catenacmd.exeche ferma Windows Defender, Windows Security Center e qualsiasi AV di terze parti (T1547.001 persistenza tramite interruzione del servizio).- Hollowing / Iniezione di Processo – simulare avviando
usoclient64.execon uno script PowerShell che dorme (rappresenta il codice iniettato). - Aggiungi Esclusione di Defender – comando PowerShell che corrisponde esattamente alla stringa della regola.
- Arresta i Servizi di Sicurezza –
cmd.exeuna linea di comando che ferma i servizi.
- Hollowing / Iniezione di Processo – simulare avviando
-
Script di Test di Regressione:
# ------------------------------------------------------------------------- # Script di Simulazione – attiva la regola Sigma per comportamento simile a 10FXRAT # ------------------------------------------------------------------------- # 1. Simula l'iniezione di usoclient64.exe (segnaposto per hollowing di processo) $usoclient = "$env:SystemRootSystem32usoclient64.exe" Write-Host "[*] Lanciando usoclient64.exe (iniezione simulata)..." Start-Process -FilePath $usoclient -ArgumentList "/RunDll32" -WindowStyle Hidden # 2. Comando PowerShell che aggiunge un'esclusione di Defender (corrisponde alla regola) Write-Host "[*] Aggiungendo il path di esclusione di Windows Defender..." powershell.exe -NoP -NonI -W Hidden -C "Add-MpPreference -ExclusionPath 'C:TempMalicious'" # 3. Disabilita i servizi di sicurezza tramite cmd (corrisponde alla regola) Write-Host "[*] Fermando i servizi di sicurezza..." cmd.exe /c "net stop WinDefend /y >nul 2>&1 & net stop wscsvc /y >nul 2>&1 & net stop Sense /y >nul 2>&1" Write-Host "[+] Simulazione completa. Verifica allarmi nel SIEM." -
Comandi di Pulizia:
# ------------------------------------------------------------------------- # Pulizia – ripristina un normale assetto di sicurezza # ------------------------------------------------------------------------- # Rimuovere l'esclusione di Defender powershell.exe -NoP -NonI -W Hidden -C "Remove-MpPreference -ExclusionPath 'C:TempMalicious'" # Riavviare i servizi fermati cmd.exe /c "net start WinDefend >nul 2>&1 & net start wscsvc >nul 2>&1 & net start Sense >nul 2>&1" # Facoltativamente uccidere l'istanza iniettata di usoclient64.exe Get-Process -Name usoclient64 -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[+] Pulizia completata."