Le campagne NarwhalRAT e UNK_DeadDrop rappresentano due delle minacce più sofisticate emerse recentemente nel panorama della sicurezza informatica. Pur rivolgendosi a target differenti, entrambe condividono caratteristiche operative avanzate come l’utilizzo di infrastrutture dead-drop, tecniche Living Off The Land, elevata capacità di evasione e un approccio estremamente selettivo nella raccolta delle informazioni. Il primo malware prende di mira prevalentemente utenti e organizzazioni della Corea del Sud attraverso campagne di spear phishing che impersonano notifiche di sicurezza Microsoft. Il secondo si concentra invece su sviluppatori software, ricercatori di sicurezza e professionisti dell’intelligenza artificiale, sfruttando repository GitHub fraudolenti per distribuire il framework Overlord RAT e sottrarre credenziali, wallet e dati sensibili. Entrambe le operazioni dimostrano come gli attori delle minacce stiano perfezionando metodologie capaci di combinare social engineering, persistenza discreta e infrastrutture resilienti per massimizzare il successo delle compromissioni.
Cosa leggere
NarwhalRAT sfrutta spear phishing e file LNK offuscati
La catena di infezione di NarwhalRAT inizia con una campagna di spear phishing costruita per apparire come una comunicazione ufficiale del Microsoft Account Team. Le email avvisano la vittima di presunte attività anomale legate alla generazione ripetuta di codici OTP e invitano ad aprire un allegato contenente ulteriori dettagli. Il file distribuito è un archivio ZIP che nasconde un file LNK progettato per simulare un avviso di sicurezza autentico. Una volta eseguito, il collegamento attiva una complessa sequenza di comandi offuscati che ricostruiscono dinamicamente istruzioni PowerShell e cmd attraverso manipolazioni di variabili d’ambiente.
Tecniche come ExecutionPolicy Bypass, ricostruzione delle stringhe e utilizzo di processi nascosti consentono di ridurre la visibilità del malware durante le fasi iniziali dell’infezione. L’esecuzione sfrutta inoltre curl.exe presente in Windows come strumento legittimo per scaricare componenti aggiuntivi, classificandosi come tipica tecnica Living Off The Land Binary (LOLBins) che evita l’introduzione immediata di eseguibili sospetti sul sistema.
L’installazione utilizza componenti legittimi e documenti esca
Dopo il download iniziale, la vittima riceve due file distinti. Il primo è un documento esca con estensione HWP, formato largamente utilizzato in Corea del Sud, che viene aperto automaticamente per rassicurare l’utente e ridurre i sospetti. Il secondo è uno script BAT che avvia l’installazione effettiva del malware. Gli sviluppatori hanno introdotto persino errori apparentemente casuali nei percorsi di salvataggio per complicare l’analisi automatica e il rilevamento da parte di alcune soluzioni di sicurezza. Lo script viene eseguito in modalità nascosta e crea una directory denominata naverwhale, nome scelto per richiamare il popolare browser sudcoreano Naver Whale. Alla cartella vengono assegnati gli attributi Hidden e System, aumentando la capacità di occultamento del malware. L’intera procedura dimostra una conoscenza approfondita delle abitudini degli utenti locali e delle tecniche di evasione più efficaci contro ambienti Windows moderni.
NarwhalRAT attiva il furto dati solo quando necessario
Una delle caratteristiche più interessanti di NarwhalRAT è la sua natura estremamente selettiva. Dopo l’installazione il malware non attiva automaticamente tutte le proprie funzionalità, ma resta in attesa delle istruzioni impartite dagli operatori. Le capacità disponibili includono keylogging, acquisizione di screenshot, raccolta di informazioni da dispositivi USB collegati e possibilità di eseguire comandi remoti arbitrari. Tutte queste funzioni rimangono inattive fino a quando l’attaccante decide di utilizzarle. Questo approccio riduce sensibilmente il rumore comportamentale generato sul sistema e rende più difficile il rilevamento da parte di strumenti EDR e soluzioni di monitoraggio basate sull’analisi delle attività sospette.
Gli analisti evidenziano come questa modalità operativa differisca da altre famiglie malware che eseguono immediatamente operazioni di raccolta massiva, aumentando invece la precisione dell’attacco e la probabilità di permanenza all’interno dell’ambiente compromesso.
L’infrastruttura dead-drop garantisce resilienza al comando e controllo
Per mantenere la comunicazione con i sistemi infetti, NarwhalRAT utilizza una struttura C2 a più livelli. Il malware contatta inizialmente relay server localizzati in Corea del Sud come daehoat.com e novel21.co.kr, che fungono da punto di instradamento iniziale. Successivamente utilizza il servizio cloud pCloud come meccanismo dead-drop resolver, recuperando parametri e informazioni necessarie per raggiungere il vero server di comando e controllo.
Questa tecnica consente agli operatori di modificare l’infrastruttura senza aggiornare il malware distribuito e sfrutta una piattaforma legittima per nascondere le comunicazioni. Il traffico verso servizi cloud affidabili tende infatti a confondersi con il normale traffico aziendale, rendendo più difficile l’identificazione di attività malevole attraverso sistemi di reputazione o blocchi basati sugli indirizzi IP.
UNK_DeadDrop prende di mira sviluppatori e professionisti dell’AI
Mentre NarwhalRAT si concentra su utenti specifici, la campagna UNK_DeadDrop adotta un approccio orientato ai professionisti tecnologici. Gli attaccanti prendono di mira sviluppatori software, ricercatori di sicurezza, ingegneri specializzati in AI e operatori del settore criptovalute. Le email utilizzate nella campagna propongono offerte di lavoro altamente specializzate, richieste di revisione codice open source o collaborazioni tecniche legate a protocolli blockchain e sistemi di intelligenza artificiale.
Le comunicazioni impersonano aziende note del settore fintech, crypto e sviluppo software, aumentando la credibilità dell’approccio. I destinatari vengono invitati a visitare repository GitHub apparentemente legittimi e a clonare progetti che simulano strumenti di sviluppo reali. La strategia sfrutta la naturale propensione dei professionisti tecnici a testare codice, collaborare a progetti open source e valutare nuove opportunità lavorative.
I repository GitHub attivano automaticamente il malware
Una volta clonato il repository e aperto il progetto in editor come Visual Studio Code o Cursor, entra in azione il meccanismo di esecuzione automatica. Gli attaccanti sfruttano configurazioni tasks.json con parametro runOn folderOpen, consentendo l’avvio di script non appena la directory viene aperta dall’utente.
| Repository | Account | Tema | Data |
|---|---|---|---|
| Pulsynk | Pulsynk | Previsioni Crypto (AI) | 10/05/2026 |
| trixauvex | Trixauvex-org | Trading Crypto | 16/05/2026 |
| rekt-db | PedrinPY | Exploit Blockchain | 19/05/2026 |
| rekt-db | wayout4u | Exploit Blockchain | 21/05/2026 |
| rekt-db | Stomp47 | Exploit Blockchain | 25/05/2026 |
| forge-4626-invariants | sr-werney | Test Fonderia | 20/05/2026 |
| forge-4626-invariants | mireles343 | Test Fonderia | 26/05/2026 |
| forge-4626-invariants | ziobiri | Test Fonderia | 27/05/2026 |
| x402-kit | skyjum | Pagamenti AI | 25/05/2026 |
| x402-kit | rkama411 | Pagamenti AI | 27/05/2026 |
Su sistemi Linux e macOS viene eseguito uno script Bash nascosto, mentre su Windows il malware utilizza wscript.exe per lanciare codice VBS offuscato. L’obiettivo è installare silenziosamente un’estensione VSIX che si presenta come un componente Google legittimo ma che in realtà garantisce persistenza e accesso remoto. In diversi scenari l’operazione avviene senza richiedere autorizzazioni esplicite all’utente, riducendo drasticamente le probabilità che il comportamento sospetto venga notato durante la fase iniziale dell’infezione.
Overlord RAT opera su Windows, Linux e macOS
Il framework utilizzato dalla campagna è Overlord RAT, una piattaforma multipiattaforma sviluppata in Go e progettata per operare su Windows, Linux e macOS. Dopo l’installazione, il malware stabilisce una connessione persistente tramite WebSocket verso il server di comando e controllo e avvia la raccolta delle informazioni. Su Linux e macOS vengono distribuiti binari nativi compilati, mentre su Windows gli operatori sfruttano una pipeline Node.js eseguita all’interno del processo Electron dell’editor tramite la variabile ELECTRON_RUN_AS_NODE. Questa scelta consente al malware di integrarsi nel normale comportamento degli strumenti di sviluppo, riducendo ulteriormente la visibilità delle attività malevole. La natura multipiattaforma di Overlord lo rende particolarmente efficace contro organizzazioni che utilizzano ambienti di sviluppo eterogenei.
Il furto di wallet e credenziali è il vero obiettivo della campagna
La raccolta dati avviene in due fasi distinte. Nella prima il malware individua wallet browser e applicazioni dedicate alle criptovalute, raccogliendo dati da estensioni e directory locali che vengono successivamente compressi ed esfiltrati. In una seconda fase viene eseguito il furto delle credenziali. Su macOS vengono manipolate le autorizzazioni del Keychain per accedere alle chiavi di protezione dei browser. Su Linux il malware utilizza strumenti come Zenity, Python3, GNOME Keyring e D-Bus per recuperare credenziali memorizzate. Su Windows sfrutta tecniche avanzate di bypass di DPAPI e App-Bound Encryption, oltre ad accedere ai database di Firefox come key4.db e logins.json. Il focus costante sulle credenziali e sui wallet indica che il principale obiettivo economico della campagna è il furto di asset digitali e l’accesso a servizi ad alto valore.
Tecniche anti-forensics e persistenza rendono difficile l’analisi
Una volta completata l’esfiltrazione, UNK_DeadDrop implementa una serie di tecniche anti-forensics progettate per ostacolare le indagini successive. Il malware elimina directory temporanee, cancella file runtime e rimuove cartelle come vendor e .vscode utilizzate durante l’infezione. Questa attività riduce le tracce lasciate sul sistema e rende più complessa la ricostruzione della catena di compromissione.
| Caratteristica | UNK_DeadDrop | Contagious Interview |
|---|---|---|
| Targeting | Dev, Ricercatori sicurezza, Ingegneri AI Crypto | Dev settore Crypto e AI |
| Accesso Automatico | Phishing e-mail | Phishing social media |
| Esche | Reclutamento, Code Review | Reclutamento |
| Installazione | Abuso tasks.json (silenzioso) | Abuso installazione npm (visibile) |
| Carico Utile (Payload) | Signore Supremo (Go) | OtterCookie, Invisible Ferret |
| Protocollo C&C | WebSocket Secure (WSS) | HTTP / HTTPS |
| Esfiltrazione | Wallet Crypto, Credenziali Browser | Wallet Crypto, Token API, Source code |
La persistenza viene mantenuta principalmente attraverso le estensioni VSIX installate sugli editor di sviluppo, mentre l’infrastruttura backend continua a evolversi con nuove build e aggiornamenti frequenti del framework Overlord. Gli operatori modificano costantemente repository, domini e payload per contrastare il rilevamento da parte della community di sicurezza.
Due campagne diverse unite dalla stessa evoluzione delle minacce
Sebbene NarwhalRAT e UNK_DeadDrop operino in contesti differenti, entrambe riflettono una tendenza sempre più evidente nel panorama cyber contemporaneo. Gli attaccanti combinano social engineering, infrastrutture dead-drop, strumenti legittimi di sistema e modelli operativi estremamente selettivi per aumentare il successo delle operazioni e ridurre la probabilità di rilevamento. Nel primo caso il focus è rappresentato da utenti sudcoreani e raccolta mirata di informazioni, nel secondo da sviluppatori e professionisti che gestiscono asset digitali di elevato valore. Entrambe le campagne dimostrano come i gruppi criminali stiano investendo in tecniche sempre più sofisticate per compromettere bersagli specifici senza generare attività facilmente identificabili. Per le organizzazioni diventa quindi essenziale monitorare non solo gli allegati e le email sospette, ma anche repository open source, estensioni degli ambienti di sviluppo e comunicazioni apparentemente legittime provenienti da piattaforme professionali e servizi cloud affidabili.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
