Una nuova e insidiosa minaccia colpisce l’ecosistema Windows: si chiama Airstalk ed è una famiglia di malware individuata dal team Unit 42 di Palo Alto Networks che sfrutta l’API di AirWatch, oggi nota come Workspace ONE, per nascondere le proprie comunicazioni di comando e controllo all’interno di canali legittimi di gestione aziendale. La scoperta, collegata al cluster CL-STA-1009, suggerisce l’impiego da parte di un attore statale impegnato in un attacco alla catena di fornitura, segnalando un’evoluzione tecnica che mescola strumenti di amministrazione aziendale e infrastrutture di spionaggio digitale. Airstalk si manifesta in due varianti principali, una in PowerShell e una in .NET, entrambe progettate per operare silenziosamente nei contesti enterprise e per sottrarre dati sensibili da browser come Chrome, Edge e Island. Il codice integra funzioni di furto dati, come l’esfiltrazione di cookie, segnalibri, cronologia e screenshot, ma le incapsula in flussi di traffico apparentemente normali, rendendo il riconoscimento da parte di antivirus e firewall estremamente complesso.
La variante PowerShell rappresenta la prima fase evolutiva del progetto e utilizza l’endpoint /api/mdm/devices/ per creare un canale di comunicazione occulto con il server di AirWatch. Gli aggressori si servono degli attributi personalizzati dei dispositivi come punto di scambio dei comandi, caricando e leggendo valori codificati in Base64 che contengono messaggi JSON strutturati come comuni richieste MDM. Questa tecnica, nota come “dead drop”, permette al malware di ricevere istruzioni e restituire risultati senza instaurare connessioni dirette con il server di comando. Airstalk sfrutta inoltre altri endpoint, come /api/mam/blobs/uploadblob, per caricare file o dati esfiltrati, imitando perfettamente il comportamento legittimo di un client aziendale. Il flusso di esecuzione prevede una sequenza di messaggi che stabiliscono la connessione, sincronizzano le azioni e restituiscono i risultati, ma tutto avviene sotto forma di richieste AirWatch ordinarie. La raccolta dei dati è meticolosa: il malware accede ai profili utente, cattura schermate, riavvia il browser con funzioni di debug remoto per estrarre cookie e cronologia, e infine rimuove se stesso per cancellare le tracce dell’attività. Questa variante dimostra un uso sofisticato di PowerShell, capace di sfruttare strumenti di amministrazione nativi di Windows per eludere i sistemi di difesa aziendali. Con la versione .NET, Airstalk evolve radicalmente. Gli sviluppatori introducono un sistema di multi-threading per la gestione parallela delle operazioni e un modello modulare di comandi numerati che espandono le funzionalità della backdoor. La nuova versione mira a più browser, adotta firme digitali rubate a un’azienda reale (Aoteng Industrial Automation) e si maschera come un software di VMware per confondersi con le applicazioni legittime di gestione. Ogni modulo opera in modo indipendente: un thread esegue i compiti assegnati, un altro mantiene la connessione viva con segnali periodici, mentre un terzo invia log di debug ogni dieci minuti, permettendo all’attaccante di monitorare in tempo reale l’esecuzione. Questa variante introduce un vero e proprio sistema di versione interno, con build numerate 13 e 14, segno di un progetto in continua evoluzione. I comandi permettono di acquisire screenshot, aprire URL controllati dall’attaccante, esfiltrare profili completi di browser, elencare directory di sistema, accedere ai segnalibri e recuperare credenziali attive anche da sessioni già aperte, tutto attraverso lo stesso canale MDM. Alcuni compiti risultano non ancora implementati, suggerendo che Airstalk sia solo una parte di un’architettura più ampia destinata a crescere. Un elemento di particolare interesse è l’uso di timestamp di compilazione futuri, con date come “2055” o “2066”, una scelta deliberata per ingannare i sistemi di analisi automatica e alterare la cronologia forense dei campioni. Il certificato rubato, rilasciato nel giugno 2024 e revocato poche settimane dopo, conferisce un’apparente legittimità ai binari .NET e permette al malware di superare controlli di firma digitale nei contesti aziendali più restrittivi. Le analisi cronologiche di Unit 42 indicano che i primi test risalgono all’estate del 2024, con una transizione rapida verso versioni mature nei mesi autunnali. I campioni più recenti mostrano una complessità crescente e una strategia chiara: infiltrarsi nelle reti corporate sfruttando la fiducia intrinseca delle API MDM, esfiltrando dati sensibili e mantenendo la persistenza fino alla rimozione manuale. Airstalk rappresenta una minaccia diversa dalle consuete: non agisce come un comune infostealer o un ransomware, ma come un malware aziendale camuffato da strumento di gestione, capace di eludere perfino i controlli comportamentali grazie all’uso di canali legittimi e certificati autentici. La sua scoperta conferma un trend in crescita: gli attacchi supply chain che sfruttano infrastrutture di fiducia, rendendo necessaria una sorveglianza costante sulle piattaforme MDM e una revisione delle chiavi API aziendali. Palo Alto Networks raccomanda alle organizzazioni di analizzare i log dei sistemi Workspace ONE, monitorare il traffico anomalo verso endpoint API e verificare l’integrità delle firme digitali sui binari interni. La capacità di Airstalk di operare indisturbato all’interno dei processi di gestione IT lo rende una delle minacce più sofisticate del 2025, simbolo di un’evoluzione del cyber spionaggio che sposta il conflitto dalle vulnerabilità tecniche alla manipolazione delle infrastrutture di fiducia.
