StrikeShark malware: cos’è e come funziona il nuovo SharkLoader

🛡️ Executive Summary

• La campagna StrikeShark sfrutta exploit pubblici, DLL sideloading e il loader SharkLoader per distribuire Cobalt Strike Beacon.
• L’infezione consente persistenza stealth, esecuzione in memoria, furto di credenziali e ricognizione tramite strumenti open-source contro governi e aziende.
• Le mitigazioni richiedono patch tempestive delle CVE, monitoraggio del caricamento DLL, analisi degli IOC e controllo delle attività pianificate.

La campagna StrikeShark rappresenta una nuova evoluzione nell’impiego di Cobalt Strike come piattaforma di post-compromissione, introducendo un loader personalizzato denominato SharkLoader progettato per garantire un caricamento estremamente discreto del beacon direttamente in memoria. L’operazione è stata individuata durante l’analisi di un incidente che ha coinvolto un’organizzazione diplomatica in Indonesia, ma successive attività investigative hanno evidenziato un’estensione della campagna verso governi, aziende di sviluppo software e altre organizzazioni distribuite in Asia, Medio Oriente, Europa e America Latina. Gli operatori combinano vulnerabilità note, droppers mascherati da software legittimi, tecniche avanzate di DLL sideloading e sofisticati sistemi di evasione per ottenere accesso persistente agli ambienti compromessi. Una volta installato il beacon, l’infrastruttura viene utilizzata per ricognizione, raccolta di credenziali e movimento laterale attraverso strumenti open-source largamente disponibili. L’insieme di queste tecniche rende StrikeShark una minaccia particolarmente efficace contro organizzazioni che non applicano rapidamente gli aggiornamenti di sicurezza o che si affidano esclusivamente a sistemi di rilevamento basati su firme statiche.

StrikeShark utilizza SharkLoader come nuovo vettore per distribuire Cobalt Strike

Il cuore della campagna è rappresentato da SharkLoader, un componente finora mai documentato pubblicamente e sviluppato con l’obiettivo di distribuire Cobalt Strike Beacon mantenendo un profilo estremamente discreto. Gli analisti hanno osservato per la prima volta il malware durante un’indagine su un’organizzazione diplomatica indonesiana, individuando successivamente compromissioni che hanno interessato enti governativi di Taiwan, società di sviluppo software a Taiwan, Libano e Siria, oltre ad aziende e istituzioni presenti a Hong Kong, Colombia, Macedonia del Nord, Nepal e Serbia. Il modello di targeting suggerisce un approccio opportunistico, nel quale gli aggressori individuano infrastrutture vulnerabili senza limitarsi a uno specifico settore economico. Dopo l’accesso iniziale, gli operatori eseguono attività di ricognizione della rete, raccolta di informazioni e furto di credenziali prima di distribuire il beacon. L’attribuzione rimane a bassa confidenza verso un attore di lingua cinese, principalmente sulla base dell’utilizzo di strumenti open-source sviluppati da ricercatori cinesi su GitHub, senza tuttavia individuare collegamenti diretti con gruppi APT già noti.

Exploit pubblici e vulnerabilità note costituiscono il principale vettore iniziale

L’accesso iniziale viene ottenuto sfruttando vulnerabilità già pubbliche presenti in applicazioni esposte su Internet. Gli operatori riutilizzano proof-of-concept disponibili liberamente su GitHub, riducendo i tempi di preparazione delle campagne e aumentando rapidamente il numero di bersagli potenziali. Tra le vulnerabilità osservate figurano CVE-2016-4437 in Apache Shiro, CVE-2021-36260 nei dispositivi Hikvision, CVE-2021-27076 in Microsoft SharePoint, CVE-2022-27925 in Zimbra, CVE-2022-41082 in Microsoft Exchange, CVE-2023-46747 in F5 BIG-IP, CVE-2023-32315 in Openfire, CVE-2024-21762 in Fortinet FortiOS, CVE-2024-36401 in GeoServer e CVE-2025-55182 relativa ai React Server Components. In diversi casi vengono inoltre sfruttati bypass di autenticazione come CVE-2022-40684 nei prodotti Fortinet e CVE-2023-20198 in Cisco IOS XE. Dopo l’esecuzione del codice remoto vengono frequentemente installate webshell che consentono di mantenere la persistenza iniziale e preparare il successivo caricamento di SharkLoader. Un’infrastruttura associata alla campagna è stata osservata mentre effettuava scansioni massive alla ricerca di sistemi vulnerabili su Internet.

I droppers simulano installazioni legittime per distribuire SharkLoader

Oltre allo sfruttamento diretto delle vulnerabilità, StrikeShark utilizza sofisticati droppers mascherati da aggiornamenti di Google o installatori di Cisco AnyConnect. Questi componenti estraggono archivi compressi tramite zlib, installano pacchetti MSI apparentemente legittimi e rilasciano simultaneamente i moduli malevoli in directory come %APPDATA%\xwreg o %APPDATA%\xgdf.

Per ridurre i sospetti vengono visualizzati documenti PDF estratti dalle risorse interne, spesso denominati TELEMETRY, aperti automaticamente tramite cmd.exe mentre il malware completa l’installazione in background. Alcune varianti depositano file come SystemSettings.dll, DscCoreR.mui e SyncRes.dat, predisponendo l’ambiente necessario al successivo DLL sideloading. In altri casi le directory create imitano prodotti di aziende di sicurezza, ad esempio C:\ProgramData\KasperskyLab, nel tentativo di confondere gli amministratori durante eventuali controlli manuali del sistema.

SharkLoader sfrutta Perfect DLL Hijacking e caricamento completamente in memoria

L’architettura di SharkLoader è composta da diversi moduli che cooperano per eseguire Cobalt Strike Beacon senza lasciare tracce persistenti facilmente individuabili. L’infezione inizia con l’esecuzione del binario legittimo SystemSettings.exe, copiato in cartelle controllate dagli aggressori. Attraverso una tecnica di DLL sideloading, il processo carica SystemSettings.dll, che implementa un sofisticato schema di Perfect DLL Hijacking. Il modulo risolve dinamicamente funzioni presenti in ntdll.dll, rilascia il LoaderLock richiamando LeaveCriticalSection, decrementa il contatore WorkInProgress e crea un thread dedicato esclusivamente all’esecuzione del codice malevolo. Il thread legge quindi il file DscCoreR.mui, recupera una chiave Blowfish da 16 byte e decifra il contenuto in modalità ECB, ottenendo il modulo che contiene Cobalt Strike Beacon insieme alla libreria MinHook. Successivamente viene caricato anche SyncRes.dat, decifrato tramite AES-128, che installa numerosi hook sulle API di Windows. L’intera esecuzione avviene prevalentemente in memoria, limitando drasticamente gli artefatti disponibili per l’analisi forense tradizionale.

Persistenza stealth e tecniche avanzate di evasione

Per mantenere il controllo dei sistemi compromessi, SharkLoader crea attività pianificate attraverso le interfacce COM del Windows Task Scheduler. I nomi delle attività imitano componenti legittimi come Microsoft Update o OneDrive, aumentando la probabilità di passare inosservati durante verifiche superficiali. Alcune attività vengono eliminate automaticamente pochi secondi dopo la creazione, riducendo ulteriormente la visibilità dell’infezione. Il malware utilizza inoltre Microsoft Detours, MinHook e stub di syscall generati con jitasm per intercettare funzioni sensibili come CreateProcess, VirtualAlloc e LoadLibrary, eludendo numerosi sistemi di monitoraggio comportamentale. L’utilizzo combinato di crittografia Blowfish, AES-128, compressione zlib, caricamento riflessivo e iniezione completamente in memoria rende estremamente difficile individuare il malware attraverso strumenti basati esclusivamente su firme statiche o analisi del file system.

Dopo il beacon gli aggressori utilizzano strumenti open-source per espandere il controllo

Una volta completata l’installazione di Cobalt Strike Beacon, gli operatori avviano una fase di ricognizione approfondita dell’infrastruttura utilizzando strumenti open-source ampiamente diffusi. Tra questi figurano FScan, impiegato per individuare sistemi vulnerabili e mappare la rete interna, Searchall, utilizzato per cercare documentazione sensibile e credenziali archiviate, e Pillager, destinato alla raccolta automatizzata di informazioni. Negli ambienti Active Directory viene osservato anche SharpGPOAbuse, utilizzato per modificare gli oggetti Group Policy e facilitare il movimento laterale. Il beacon mantiene una comunicazione costante con l’infrastruttura di comando e controllo consentendo agli operatori di distribuire ulteriori payload, eseguire comandi arbitrari e sottrarre nuove credenziali. L’adozione di strumenti legittimi e open-source consente agli aggressori di confondersi con le normali attività amministrative, aumentando ulteriormente la difficoltà di individuazione.

StrikeShark dimostra come exploit pubblici e tool legittimi possano diventare una minaccia globale

La campagna StrikeShark evidenzia come la disponibilità pubblica di exploit, strumenti open-source e tecniche avanzate di DLL sideloading permetta agli attaccanti di costruire operazioni estremamente efficaci senza ricorrere necessariamente a malware completamente inediti. L’impiego di SharkLoader come ponte verso Cobalt Strike Beacon consente di combinare exploit di vulnerabilità note, caricamento stealth in memoria, persistenza avanzata e ricognizione interna in un’unica catena di compromissione. Le organizzazioni dovrebbero ridurre la superficie di attacco applicando tempestivamente le patch per le CVE esposte, monitorando il caricamento di DLL da percorsi non standard, verificando la creazione di attività pianificate anomale e controllando con attenzione eventuali processi che eseguono binari Windows legittimi da directory insolite. La campagna conferma come la sicurezza moderna richieda una difesa multilivello basata non soltanto sull’aggiornamento delle vulnerabilità, ma anche sull’analisi comportamentale e sul monitoraggio continuo delle tecniche utilizzate dagli aggressori dopo l’accesso iniziale.