Sommario
L’ultima ricerca pubblicata da Netskope evidenzia un’evoluzione significativa nelle strategie di cyber deception con la scoperta della campagna DeepSeek, che combina l’uso del malware Sainbox RAT con tecniche avanzate di delivery fileless e la distribuzione di rootkit mirati. Gli attaccanti, attraverso un’infrastruttura articolata su più livelli, adottano metodi sofisticati per evitare la rilevazione, sfruttando dropper polimorfici, payload in memoria e un’esecuzione modulare che limita al minimo la scrittura su disco. Questo approccio multi-stage consente di compromettere endpoint e server senza lasciare tracce evidenti, incrementando la resilienza contro le soluzioni tradizionali di difesa.
Catena di attacco: dropper polimorfici, payload cifrati e rootkit kernel-level
L’analisi tecnica Netskope documenta come la campagna DeepSeek parta dall’invio di allegati o link malevoli camuffati da documentazione interna o aggiornamenti di sicurezza. Il primo livello di infezione utilizza un dropper polimorfico che decifra in memoria il payload del Sainbox RAT, un malware di controllo remoto dotato di capacità di persistence, esfiltrazione dati, keylogging, hijacking di sessione e raccolta credenziali. Il RAT viene iniettato nei processi legittimi per sfuggire al rilevamento basato su firma, mentre la seconda fase prevede il download e il caricamento di un rootkit kernel-level progettato per alterare la tabella SSDT, nascondere file/processi e fornire accesso persistente agli attaccanti.
La combinazione di delivery fileless e rootkit rende l’attività particolarmente difficile da individuare anche per soluzioni EDR e XDR di nuova generazione. Il rootkit sfrutta vulnerabilità locali o privilege escalation per ottenere permessi kernel, offrendo agli operatori la possibilità di mantenere un controllo invisibile sul sistema infetto, disabilitare tool di sicurezza e manipolare log e audit trail.
Focus su behavioral analytics e memoria
La difesa contro minacce come DeepSeek richiede l’adozione di strategie avanzate basate su analisi comportamentale, monitoraggio della memoria e verifica dell’integrità delle strutture kernel. Netskope raccomanda di integrare soluzioni EDR/XDR con sistemi di detection anomaly-based, controlli di esecuzione script e monitoraggio delle attività di processo sospette, come l’iniezione in processi trusted o il caricamento di driver non firmati. La formazione degli utenti sulla gestione di allegati e link sospetti, abbinata all’implementazione di privilege management stringente e all’uso di ambienti di sandboxing per i file provenienti dall’esterno, rappresenta un ulteriore livello di protezione contro attacchi multi-stage di questo tipo.
Approfondimento tecnico: delivery fileless, persistence avanzata e rischio di supply chain
Il caso DeepSeek conferma la crescente diffusione di tattiche fileless in ambito cybercrime e cyber-espionage, dove la capacità di operare esclusivamente in memoria e di installare rootkit kernel-level trasforma i normali endpoint in nodi compromessi invisibili anche a molti controlli di sicurezza enterprise. La delivery fileless e la modularità della campagna, unite all’uso di RAT customizzati e rootkit su misura, pongono nuove sfide sia in termini di detection sia di remediation, spingendo le aziende a rafforzare i controlli di integrità su endpoint, server e pipeline di sviluppo.
