Sommario
La scoperta di ShadowSilk da parte di Group-IB illumina un’operazione di spionaggio cibernetico contro governi dell’Asia centrale e settori ad alta criticità, con una catena di attacco che unisce exploit noti, tool open-source modificati e malware custom. Il threat cluster, derivato dall’esperienza di YoroTrooper, inizia l’infezione tramite malware veicolato su Telegram, scarica payload aggiuntivi da infrastrutture C2 su VPS e router compromessi, e mantiene persistenza grazie a offuscamento multilivello, evasion anti-sandbox e un uso calibrato di LOTL. Gli analisti collegano ShadowSilk a tattiche APT ibride che operano cross-border, con sovrapposizioni su campagne precedenti e una particolare attenzione all’esfiltrazione dati per finalità di intelligence. La ricerca avviata nel 2025 fornisce indicatori di compromissione utilizzabili e raccomandazioni difensive che privilegiano monitoraggio dei log, patching prioritario e MFA estesa. L’operazione, a basso costo ma ad alta efficacia, sfrutta piattaforme fidate per insinuarsi nella quotidianità operativa e dimostra quanto le diffusioni mobili e i servizi di messaggistica rappresentino oggi superfici di attacco centrali.
Origini e attribuzione di ShadowSilk
Secondo Group-IB, ShadowSilk costituisce l’evoluzione di YoroTrooper, attivo dal 2023, riutilizzandone moduli operativi e fonti infrastrutturali con un salto di qualità nell’OPSEC. Il cluster mostra un’impronta ibrida, dove interagiscono attori statali e criminali in partnership tattiche orientate a obiettivi governativi e telecom. L’adozione di tool come Behinder e Metasploit, adattati per stealth, e l’integrazione di Cobalt Strike per comando e controllo suggeriscono un ecosistema modulare capace di sperimentare su target limitati prima di espandere la portata. Gli analisti individuano C2 con nodi in Russia e Cina, rotati con frequenza per evasion e longevità. La strategia riflette tendenze APT recenti: abuso di piattaforme social, front companies per logistica e monetizzazione tramite furti dati rivenduti nel dark web.
Catena di infezione e accesso iniziale
La catena s’innesca con lure su Telegram che distribuiscono APK malevoli o dropper per desktop, spesso camuffati da aggiornamenti o strumenti operativi. In fase di accesso iniziale, ShadowSilk sfrutta vulnerabilità note per escalation di privilegi e inietta codice in processi attendibili per ridurre la visibilità. Il loader verifica ambiente e permessi, richiede Accessibility su Android per automazione UI e costruisce un canale C2 resiliente tramite VPS e router hijacked usati come staging. Segue discovery dei servizi, inventario delle app installate e selezione delle superfici di furto più redditizie, dai wallet crypto alle piattaforme collaborative, con preparazione di overlay e keylogging per sottrarre credenziali e OTPs.
Capacità e moduli operativi del malware
ShadowSilk combina raccolta credenziali, keylogging, screen/video capture e VNC occulto per monitoraggio in tempo reale. Su mobile implementa overlay contro app bancarie e portafogli crypto, intercetta gesture e seed phrase, e sfrutta servizi di Accessibilità per interazioni invisibili. Su Windows adotta in-memory execution, reflection, DLL reflective loading, con COM hijack, run keys e watchdog thread per persistenza e resilienza ai tentativi di rimozione. La rete utilizza DGA per generare domini C2 dinamici, beacon periodici a basso rumore e mimetizzazione HTTPS tramite user-agent standard e header legittimi. La telemetria osservata mostra POST JSON cifrati, spesso con AES, e picchi periodici coerenti con esfiltrazioni batch.
Evasione, offuscamento e anti-analisi
L’offuscamento multilivello usa Base64 annidate, nomi funzione randomizzati e packer custom per ostacolare la static analysis. Il codice controlla CPUID, RDTSC timing e breakpoint per riconoscere sandbox e debugger, disattivando routine in contesti sospetti. Per eludere EDR, ShadowSilk esegue API unhooking, modifica flussi CreateProcess e limita la scrittura su disco, privilegiando caricamenti in memoria. La profilazione comportamentale riduce l’uso di CPU e I/O, mascherando la presenza tra i processi legittimi e sincronizzando le attività con finestra utente per confondere i segnali.
Infrastruttura, staging e comando-controllo
L’operazione fa leva su un mesh di VPS affittati con identità di comodo e su router compromessi che fungono da relay e drop zone. La rotazione degli host e la registrazione rapida di domini alternativi aumentano la sopravvivenza dopo i take-down. I certificati TLS provengono da CA gratuite, assicurando assenza di warning ai browser. La frammentazione delle catene di redirect, l’uso di commenti HTML, stringhe ricomposte a runtime e moduli plug-in di overlay creano una logica condizionale che varia per target, mantenendo coerenti pattern riutilizzabili per l’attribuzione.
Obiettivi, impatti e settori colpiti
I governi dell’Asia centrale e gli operatori telecom costituiscono i bersagli primari, con obiettivi secondari in energia, servizi digitali e logistica. L’impatto include furto di documenti, accesso a sistemi interni, abusi di API e movimenti laterali verso partner in supply chain. La combinazione di session hijacking, cookie theft e token replay riduce i tempi necessari a ottenere privilegi effettivi, trasformando accessi low-footprint in intrusioni profonde con esfiltrazione continuativa.
Indicatori di compromissione e segnali utili
Group-IB segnala hash varianti per i payload, mutex con nomenclature ripetibili, file generati in %AppData%, e chiavi di registro in HKCU/HKLM per l’auto-start. Nel traffico emergono beacon POST con JSON cifrati, user-agent Mozilla-like e certificati TLS con thumbprint ricorrenti. Su Android, l’istanza richiede Accessibility Service, cattura eventi UI, registra keystroke e talvolta si disinstalla su comando per pulizia. Il C2 impiega DGA e IP che gravitano su host asiatici, con finestre di attività coerenti con orari di ufficio dei target.
Difese prioritarie e mitigazione
Le misure più efficaci combinano MFA sistematica, patching degli endpoint e dei dispositivi mobili, EDR con telemetria profonda e SIEM capace di correlare eventi di autenticazione, anomalie di referer e pattern di esfiltrazione. L’hardening mobile richiede policy MDM su permessi di Accessibilità, rimozione delle app non approvate, verifica firma per le installazioni e protezione anti-overlay. Su Windows, è fondamentale limitare LOTL, monitorare in-memory execution, bloccare COM hijack, e tracciare run keys e creazione processi anomali. L’adozione di zero-trust, la segmentazione e la limitazione del privilegio riducono i danni in caso di compromissione. In ambito rete, occorrono TLS inspection conforme, DGA detection, rate-limit per esfiltrazioni e controllo di DNS/TLS verso host emergenti.
Implicazioni per governi e telecom dell’Asia centrale
La pressione di ShadowSilk evidenzia un divario strutturale: endpoint mobili non uniformemente gestiti, procurement distribuito e personale che opera con strumenti consumer. I governi devono investire in framework ISO/IEC 27001, SOC regionali e canali di condivisione che accorcino il tempo tra rilevazione e risposta. Nel telecom, il rischio di abusi d’interfaccia e accessi federati impone controlli di identità continui, policy di sessione stringenti e telemetria su API e pannelli amministrativi. La collaborazione con threat-intel provider e CERT nazionali aumenta la resilienza contro campagne iterative.
Evoluzione e prospettive
Dal 2025, ShadowSilk mostra rilasci incrementali: rafforza keylogging, amplia C2 con ridondanza e migliora le protezioni anti-rimozione. Le varianti Android perfezionano l’abuso di Accessibilità, mentre il ramo Windows consolida persistenza e stealth. È plausibile un’adozione crescente di AI generativa per lure più credibili e adattamento di overlay a brand locali, aumentando tasso di successo su pubbliche amministrazioni e fornitori. Il cuore tecnico della campagna, sul fronte mobile, è l’abuso mirato del servizio di Accessibilità su Android. Il malware distribuìto via Telegram richiede permessi elevati, aggancia i callback di cambio testo e focus per derivare keystroke, enumera i nodi del layout e avvia overlay invisibili per phishing in-app su banking e wallet. In parallelo, il modulo desktop predilige esecuzione in memoria con reflection, COM hijack per persistenza, API unhooking per evadere EDR e beacon a bassa frequenza cifrati AES. La combinazione consente raccolta credenziali e esfiltrazione con impronta ridotta, demandando alla difesa telemetria comportamentale, policy MDM restrittive, MFA ubiqua e correlazioni SIEM su creazione processi, richieste di permessi e pattern di rete. Questo profilo tecnico orienta playbook realistici: disabilitare o limitare Accessibilità per app non firmate, imporre consent esplicito su overlay, monitorare run keys e creazione di COM object anomali, e validare comunicazioni TLS verso host non categorizzati con controlli DGA.
