L’evoluzione delle campagne malware passa sempre più spesso attraverso servizi legittimi e infrastrutture decentralizzate. L’ultima dimostrazione arriva da TONResolver, un nuovo Remote Access Trojan che sfrutta la blockchain The Open Network (TON) per recuperare dinamicamente il proprio server di comando e controllo. La tecnica consente agli operatori della campagna di modificare in qualsiasi momento il dominio utilizzato dal malware semplicemente aggiornando uno smart contract, senza distribuire nuove versioni del payload. La campagna, osservata nel maggio 2026, prende di mira strutture ricettive giapponesi affiliate a Booking.com attraverso sofisticate email di phishing che simulano reclami di clienti o richieste di recensioni. Dopo l’apertura di un archivio ZIP contenente una falsa immagine, la catena di infezione utilizza PowerShell, Node.js e codice JavaScript fortemente offuscato per installare il RAT, mantenere la persistenza e consentire agli attaccanti di distribuire ulteriori malware dedicati al furto di credenziali.
Cosa leggere
Phishing mirato contro hotel partner di Booking.com
La campagna utilizza email costruite per apparire come comunicazioni ufficiali di Booking.com. I messaggi simulano reclami relativi al soggiorno, richieste di recensioni oppure segnalazioni urgenti, come presunte infestazioni di cimici da letto. Per aumentare il tasso di successo gli aggressori adottano anche una tecnica conversazionale: inviano inizialmente un messaggio privo di allegati o link malevoli, attendono una risposta del destinatario e solo successivamente trasmettono il collegamento che porta al download del file infetto.
L’utilizzo di servizi di notifica legittimi consente inoltre di superare molti controlli basati su SPF, DKIM e DMARC, rendendo le email più credibili agli occhi del personale delle strutture ricettive.
La catena di infezione combina LNK, PowerShell e Node.js
L’infezione inizia con il download di un archivio ZIP che contiene una scorciatoia LNK camuffata da immagine. L’esecuzione del file avvia PowerShell, che ricostruisce il dominio iniziale attraverso operazioni matematiche eseguite con System.Numerics.BigInteger, evitando di memorizzare indirizzi in chiaro. Una volta individuato il server remoto, viene scaricato uno script PS1 che installa automaticamente Node.js 24.13.0 nella cartella locale dell’utente e successivamente esegue un payload JavaScript offuscato. L’utilizzo di un runtime ampiamente diffuso come Node.js rappresenta un’ulteriore tecnica di evasione, poiché il processo risulta legittimo in molti ambienti aziendali e può sfuggire ai controlli basati esclusivamente sul nome dell’eseguibile.
TONResolver usa la blockchain TON come dead drop resolver
L’elemento più innovativo del malware è l’abbandono dei tradizionali server di configurazione a favore della blockchain TON. Invece di incorporare nel codice il dominio del server di comando e controllo, TONResolver interroga l’API di TonAPI richiedendo il metodo get_domain associato a uno specifico smart contract.
Il contratto contiene il dominio C&C aggiornato dagli operatori attraverso normali transazioni blockchain. Ogni modifica diventa immediatamente disponibile per tutte le infezioni già attive senza richiedere nuovi download o aggiornamenti del malware. Le analisi hanno evidenziato diversi domini utilizzati nel tempo, confermando che gli aggressori cambiano frequentemente infrastruttura mantenendo invariato il meccanismo di distribuzione. Questo approccio rende molto più difficile il blocco delle comunicazioni attraverso blacklist statiche e aumenta notevolmente la resilienza dell’infrastruttura criminale.
Offuscazione avanzata e comunicazioni cifrate
Il payload JavaScript, identificato come TrojanSpy.JS.TONRESOLVER.A, utilizza un sistema di offuscazione basato su una macchina virtuale personalizzata che trasforma il codice in istruzioni virtuali interpretate durante l’esecuzione. L’analisi statica viene ulteriormente complicata dall’impiego di chiavi AES codificate in Base64, utilizzate per decrittografare il vero payload solamente in memoria. Una volta avviato, il RAT crea la persistenza attraverso la chiave di registro Run, verifica la connettività Internet e recupera il dominio C&C dalla blockchain. La comunicazione con il server avviene tramite WebSocket, utilizzando uno scambio di chiavi ECDH basato sulla curva secp256k1, derivazione della chiave con HKDF-SHA256 e cifratura AES-256-CBC. Dopo il collegamento vengono trasmesse informazioni dettagliate sul sistema compromesso, tra cui nome host, utente, memoria disponibile, numero di core CPU e indirizzo MAC, mentre un meccanismo di keepalive mantiene la connessione attiva ogni venti secondi.
Dal foothold iniziale al furto di credenziali
Le analisi dinamiche mostrano che TONResolver non esegue direttamente attività di furto dati, ma agisce come piattaforma di accesso remoto. Attraverso specifici comandi il server può ordinare l’esecuzione di codice JavaScript arbitrario, scaricare ulteriori file oppure avviare comandi PowerShell sulla macchina infetta. Le attività osservate dopo la compromissione indicano la distribuzione di un ulteriore malware capace di accedere ai database SQLite utilizzati da Google Chrome e Microsoft Edge per memorizzare password, cookie di autenticazione, cronologia e dati di compilazione automatica. La disponibilità di queste informazioni permette agli aggressori di compromettere account aziendali, portali di prenotazione e caselle di posta elettronica, ampliando rapidamente l’impatto dell’attacco.
Una minaccia evoluta per il settore hospitality
Le strutture ricettive rappresentano un obiettivo particolarmente interessante perché gestiscono dati personali, informazioni di pagamento e accessi privilegiati ai portali di prenotazione. L’utilizzo della blockchain come infrastruttura di supporto introduce una nuova sfida per i sistemi di difesa tradizionali, progettati per individuare domini o indirizzi IP statici. Per ridurre il rischio è consigliabile limitare l’accesso a servizi come TonAPI quando non necessari all’attività aziendale, monitorare l’esecuzione anomala di Node.js e PowerShell, controllare la creazione di nuove chiavi di persistenza nel registro di Windows e rafforzare la formazione del personale contro campagne di phishing mirate. In un panorama in cui anche le blockchain vengono ormai utilizzate come componenti dell’infrastruttura di comando e controllo, il rilevamento comportamentale degli endpoint e una rigorosa strategia di Zero Trust diventano strumenti essenziali per individuare tempestivamente compromissioni che potrebbero altrimenti rimanere attive per settimane.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
