SOC Prime Bias: Critico

30 Dec 2025 13:52 UTC

Volpe Argentata Prende di Mira l’India con Esca di Phishing a Tema Fiscale

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Volpe Argentata Prende di Mira l’India con Esca di Phishing a Tema Fiscale
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

Un gruppo APT cinese chiamato Silver Fox conduce una campagna di phishing a tema fiscale contro entità indiane. L’email iniziale contiene un PDF che indirizza le vittime a un dominio malevolo e attiva il download di un file ZIP. Lo ZIP contiene un installer NSIS che rilascia Thunder.exe e una libexpat.dll malevola che esegue l’hijacking delle DLL, controlli anti-analisi e carica shellcode criptato. Il payload finale è un Valley RAT che riceve configurazioni da un’infrastruttura C2 a più livelli.

Indagine

Il report dettaglia quattro fasi: (1) consegna di un ZIP tramite un’esca PDF, (2) esecuzione di un installer NSIS che rilascia Thunder.exe e libexpat.dll, (3) un loader di shellcode generato da Donut che inietta in explorer.exe, e (4) distribuzione di Valley RAT con persistenza basata sul registro e plugin modulari. L’analisi include un esame statico e dinamico dei binari, enumerazione di domini C2 e mappatura alle tecniche ATT&CK.

Mitigazione

I difensori dovrebbero monitorare per binari firmati che caricano DLL non firmate da posizioni temporanee, scritture nel registro sotto HKCUConsole, e creazione anomala di memoria PAGE_EXECUTE_READWRITE in explorer.exe. Bloccare domini e IP C2 noti e rilevare comportamenti di fallback multi-livello ridurranno l’esposizione. Implementare un controllo rigoroso delle applicazioni e il rilevamento dell’evasione della sandbox per fermare l’installer NSIS iniziale.

Risposta

Quando viene osservato un indicatore, isolare l’host interessato, raccogliere la memoria volatile per l’analisi dell’iniezione di processi, e cercare chiavi di registro e plugin di Valley RAT. Bloccare tutta l’infrastruttura C2 identificata e resettare le credenziali compromesse. Condurre una revisione forense completa per identificare eventuali plugin aggiuntivi o strumenti di movimento laterale.

Flusso di attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere stato superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrazione dell’Attacco & Comandi:
    Un avversario consegna una DLL malevola insieme a un “Thunder.exe” rilasciato alla %TEMP% direttorio della vittima. Per evitare sospetti da parte dell’utente, il payload è lanciato tramite l’ explorer.exe processo già in esecuzione utilizzando l’ ShellExecute API di Windows, che si traduce in un evento di creazione di processo dove explorer.exe appare come genitore. Il malevolo Thunder.exe successivamente carica la DLL malevola (hijacking delle DLL) e inietta shellcode nel explorer.exe processo (iniezione di processo), ottenendo l’esecuzione di codice con il token dell’utente.

  • Script di Test di Regressione:

    # -------------------------------------------------
    # Script di regressione per attivare il rilevamento Sigma
    # -------------------------------------------------
    # 1. Preparare un falso Thunder.exe (copia di notepad.exe)
    $tempDir   = "$env:TEMP"
    $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe"
    Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force
    
    # 2. (Opzionale) Rilasciare una DLL malevola accanto per imitare l'hijacking
    $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll"
    # Per dimostrazione creiamo solo un file vuoto; in un test reale questa sarebbe una DLL appositamente creata.
    New-Item -Path $malDll -ItemType File -Force | Out-Null
    
    # 3. Lanciare Thunder.exe tramite explorer.exe usando ShellExecute (simulato con Start-Process -Verb RunAs)
    $explorer = (Get-Process -Name explorer).Id
    # Usa PowerShell per avviare il processo con explorer come genitore (richiede API a basso livello; qui approssimiamo)
    Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null
    
    # 4. Attendiamo un breve periodo per consentire la generazione di log
    Start-Sleep -Seconds 5
    
    # 5. Clean-up (gestito nella sezione successiva)
  • Comandi di Pulizia:

    # -------------------------------------------------
    # Pulizia dopo la simulazione
    # -------------------------------------------------
    # Rimuovere il falso Thunder.exe e la DLL fittizia da %TEMP%
    Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue
    
    # Termina eventuali processi Thunder.exe residui
    Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force