uat 11795 starland rat

Cisco Talos scova l’inedito Starland RAT e l’infrastruttura di controllo WLDR

🛡️ Executive Summary

  • UAT-11795 distribuisce Starland dopo l’accesso iniziale per controllare i sistemi, eseguire comandi, sottrarre credenziali e sostenere il movimento laterale.
  • WLDR fornisce un canale C2 sviluppato su misura per ricevere istruzioni, scaricare payload aggiuntivi e trasferire dati dai dispositivi compromessi.
  • Le difese devono privilegiare telemetria comportamentale, controllo delle connessioni in uscita, protezione delle credenziali e integrazione degli indicatori pubblicati da Talos.

Cisco Talos ha identificato una nuova campagna finanziariamente motivata attribuita al gruppo UAT-11795, caratterizzata dall’impiego di due strumenti personalizzati mai documentati in precedenza: il Remote Access Trojan Starland e l’impianto di comando e controllo WLDR. La combinazione offre agli operatori una catena autonoma per mantenere l’accesso, eseguire comandi, sottrarre credenziali e coordinare attività successive alla compromissione. Lo sviluppo di malware proprietario riduce la dipendenza da framework pubblici già conosciuti dalle difese e indica un investimento operativo superiore rispetto alle campagne costruite esclusivamente con commodity malware e strumenti open source.

Starland offre a UAT-11795 un accesso remoto persistente

Annuncio

Starland costituisce il principale strumento di controllo remoto osservato nella campagna. Talos lo descrive come un RAT nuovo, sviluppato specificamente per le operazioni di UAT-11795 e distribuito dopo la compromissione iniziale dei sistemi bersaglio. Una volta installato, il malware permette agli operatori di eseguire comandi arbitrari, mantenere una presenza prolungata sulla macchina, raccogliere credenziali e sostenere attività di ricognizione o movimento laterale nella rete. La disponibilità di un accesso remoto stabile consente al gruppo di adattare l’operazione al valore della vittima: un endpoint inizialmente compromesso può diventare il punto di partenza per raggiungere account privilegiati, server, applicazioni finanziarie o archivi contenenti dati monetizzabili. Starland integra inoltre meccanismi di persistenza, offuscamento ed evasione pensati per limitare l’efficacia delle firme statiche e delle analisi superficiali. La scelta di utilizzare un impianto proprietario segue una tendenza già osservata con NarwhalRAT e la campagna UNK_DeadDrop contro ingegneri AI e sviluppatori, dove la personalizzazione del malware permetteva agli attaccanti di controllare meglio telemetria, comunicazioni e capacità post-compromissione. Nel caso di Starland, la novità del codice può ridurre inizialmente il numero di indicatori disponibili ai prodotti di sicurezza, rendendo centrali il monitoraggio dei comportamenti e l’analisi delle anomalie rispetto al normale profilo operativo dei sistemi.

WLDR costruisce un’infrastruttura C2 separata dai framework pubblici

Accanto al RAT, UAT-11795 utilizza WLDR, un impianto di command and control sviluppato su misura per amministrare le macchine compromesse e mantenere la comunicazione con l’infrastruttura degli operatori. WLDR gestisce presumibilmente la ricezione dei comandi, il download di componenti aggiuntivi, l’invio dei risultati delle operazioni e il trasferimento delle informazioni raccolte da Starland. L’adozione di un C2 proprietario offre diversi vantaggi: il gruppo può modificare protocolli, formati dei messaggi, intervalli di comunicazione e meccanismi di autenticazione senza dipendere dagli aggiornamenti di strumenti pubblici; può inoltre ridurre la presenza di firme riconducibili a framework noti come Cobalt Strike, Sliver o Metasploit. Una struttura bespoke può essere adattata rapidamente alle condizioni della rete bersaglio, utilizzando configurazioni differenti per campagne, vittime o fasi operative. Questa autonomia non rende però il traffico invisibile.

image 452
Canale Telegram controllato dall’attore.

Connessioni periodiche verso infrastrutture sconosciute, processi che avviano comunicazioni non coerenti con il proprio ruolo e trasferimenti cifrati privi di una giustificazione aziendale possono comunque produrre segnali rilevabili. La resilienza del C2 è diventata un elemento centrale anche in altre campagne, come quella del RAT TONResolver che usa la blockchain TON per aggiornare dinamicamente il server di comando. WLDR segue una strada differente, ma risponde alla stessa esigenza criminale: mantenere un collegamento affidabile e difficilmente attribuibile tra operatore e impianto.

La toolchain personalizzata indica capacità di sviluppo autonome

La presenza contemporanea di Starland e WLDR suggerisce che UAT-11795 disponga di sviluppatori propri o di accesso stabile a competenze tecniche dedicate. Costruire e mantenere un RAT insieme all’infrastruttura che lo controlla richiede gestione delle versioni, test, correzione degli errori, compatibilità con differenti ambienti e procedure per aggiornare le infezioni già attive. Questa struttura distingue il gruppo dagli attori che assemblano campagne acquistando loader, infostealer e pannelli C2 nei marketplace criminali.

image 453
Diagramma riassuntivo della catena di infezione.

Il vantaggio operativo non consiste soltanto nell’evasione: controllando il codice sorgente, gli operatori possono aggiungere moduli in base alle esigenze della vittima, rimuovere funzionalità troppo rumorose e modificare rapidamente gli indicatori scoperti dai ricercatori. Talos aveva già documentato un’evoluzione simile con UAT-9921 e il framework modulare VoidLink, sviluppato come piattaforma estensibile per ambienti Linux e cloud. Starland e WLDR appaiono meno orientati a costruire un ecosistema complesso e più focalizzati sul controllo operativo e sulla monetizzazione, ma confermano la professionalizzazione dello sviluppo malware. Per i difensori, questa trasformazione riduce il valore di una strategia basata esclusivamente sui nomi delle famiglie e impone di osservare catene di esecuzione, accessi anomali alle credenziali, persistenze inattese e comunicazioni verso destinazioni non autorizzate.

La motivazione finanziaria guida accesso, permanenza e monetizzazione

Cisco Talos attribuisce alla campagna una finalità finanziariamente motivata, ma il materiale disponibile non identifica pubblicamente un singolo settore o una precisa modalità conclusiva di monetizzazione. Le capacità di Starland permettono diversi scenari: furto diretto di credenziali, accesso a conti o applicazioni di pagamento, sottrazione di dati rivendibili, vendita dell’accesso iniziale ad altri gruppi oppure preparazione di un attacco estorsivo. La persistenza e il movimento laterale risultano particolarmente importanti perché il primo dispositivo compromesso raramente contiene le risorse più preziose. Gli operatori devono identificare utenti privilegiati, sistemi gestionali, database, server di autenticazione e percorsi attraverso i quali raggiungere informazioni o operazioni con valore economico. Una presenza silenziosa può inoltre consentire di comprendere procedure interne, flussi di autorizzazione e orari di lavoro prima di eseguire azioni visibili. Il comportamento richiama le campagne di malware bancario più evolute, come JanelaRAT contro istituti e utenti dell’America Latina, dove il controllo remoto della sessione diventa più importante del semplice furto statico di password. Nel caso di UAT-11795, la combinazione tra un RAT nuovo e un C2 dedicato suggerisce l’intenzione di mantenere il controllo sull’intero ciclo dell’operazione, dalla compromissione iniziale alla monetizzazione.

Le difese devono cercare comportamenti e non soltanto firme

La natura inedita di Starland e WLDR rende meno affidabile il solo rilevamento basato su hash, nomi dei file o signature antivirus. I team di sicurezza devono cercare attività coerenti con un impianto di accesso remoto: esecuzione di processi da directory insolite, creazione di persistenze, avvio di interpreti o shell da applicazioni che normalmente non li utilizzano, lettura anomala degli archivi di credenziali e connessioni in uscita verso host privi di una relazione con l’attività aziendale. EDR e sistemi NDR possono contribuire correlando esecuzione locale, DNS, traffico cifrato e tentativi di accesso laterale. È inoltre necessario limitare l’egress dagli endpoint e dai server, impedendo che ogni processo possa comunicare liberamente con Internet, e applicare segmentazione, autenticazione multifattore resistente al phishing e minimo privilegio agli account amministrativi. Gli indicatori di compromissione e le firme pubblicate da Talos devono essere integrati rapidamente nei sistemi SIEM, IDS e piattaforme di threat intelligence, ma utilizzati come punto di partenza per ricerche retrospettive più ampie. La scoperta di Starland conferma che un’organizzazione non può considerarsi protetta soltanto perché i prodotti installati non identificano una famiglia malware conosciuta: un nuovo impianto può essere rilevato attraverso le conseguenze operative che produce anche prima di ricevere un nome.

UAT-11795 conferma la crescita dei malware finanziari proprietari

La campagna mostra come gli attori finanziari stiano spostando parte degli investimenti dalla semplice distribuzione di malware commodity alla costruzione di toolchain autonome. Un RAT proprietario riduce l’esposizione alle firme condivise, mentre un C2 personalizzato permette di modificare infrastruttura e comportamento senza dipendere da ecosistemi criminali esterni. Questa evoluzione aumenta i costi per gli attaccanti, ma può produrre accessi più duraturi e una maggiore capacità di adattamento contro aziende dotate di difese mature.

image 451
Cisco Talos scova l'inedito Starland RAT e l'infrastruttura di controllo WLDR 6

Per le organizzazioni, la risposta deve combinare intelligence aggiornata, threat hunting, gestione rigorosa delle identità, controllo delle comunicazioni in uscita e capacità di isolare rapidamente i sistemi sospetti. Starland e WLDR sono nuovi come denominazioni, ma le attività che devono compiere per generare profitto lasciano tracce: persistenza, controllo remoto, raccolta delle credenziali, movimento laterale e comunicazione con infrastrutture esterne. Individuare tempestivamente queste fasi resta il modo più efficace per interrompere la campagna prima che l’accesso iniziale venga trasformato in danno finanziario.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto