🛡️ Executive Summary
- CylindricalCanine avrebbe compromesso un dispositivo del supporto DigiCert e sottratto codici di inizializzazione destinati ai certificati di firma del codice.
- Golden Gh0st RAT offre proxy, furto di credenziali, keylogging, tunneling, backdoor RDP e funzioni antiforensi attraverso un’architettura modulare.
- I certificati rubati migliorano la reputazione apparente del malware e aumentano le probabilità di superare SmartScreen e controlli basati sulla firma.
Expel attribuisce al gruppo denominato CylindricalCanine la compromissione che nell’aprile 2026 ha interessato un utente del supporto di DigiCert. Gli aggressori avrebbero sottratto codici di inizializzazione collegati a certificati di firma del codice destinati ai clienti, utilizzandoli successivamente per rendere più credibili i propri payload. Il cluster, identificato come Expel-TA-0002 e considerato un sottogruppo dell’ecosistema criminale cinese GoldenEyeDog, opera almeno dal 2015 e concentra le proprie attività sulle organizzazioni finanziarie dell’Asia-Pacifico. La sua toolchain ruota intorno a Golden Gh0st Loader e Golden Gh0st RAT, una versione profondamente modificata dello storico Gh0st RAT.
Cosa leggere
CylindricalCanine opera da anni contro il settore finanziario asiatico
Expel descrive CylindricalCanine come un gruppo stabile, dotato di strumenti sviluppati internamente e capace di aggiornare progressivamente infrastrutture, tecniche di consegna e meccanismi di evasione. Gli obiettivi osservati appartengono soprattutto al settore finanziario della regione Asia-Pacifico, dove le organizzazioni gestiscono dati sensibili, flussi di pagamento, credenziali privilegiate e rapporti con numerosi fornitori esterni. Le campagne partono generalmente da email di phishing oppure dall’abuso dei sistemi di assistenza: l’attore invia file apparentemente innocui, spesso presentati come screenshot necessari a documentare un problema tecnico, inducendo l’operatore a scaricarli e aprirli. Questa modalità sfrutta una debolezza organizzativa precisa. Il personale del supporto riceve abitualmente allegati da soggetti esterni, deve rispondere rapidamente e può considerare legittimo un file perché inserito all’interno di un ticket già aperto. L’attacco a DigiCert mostra come un bersaglio apparentemente periferico possa offrire accesso a risorse molto più preziose del singolo endpoint compromesso.
L’incidente DigiCert trasforma un accesso al supporto in un attacco alla fiducia
Nell’aprile 2026 CylindricalCanine avrebbe compromesso il dispositivo utilizzato da un addetto al supporto DigiCert attraverso un file consegnato nel sistema di ticketing. Da quel punto, gli aggressori sarebbero riusciti a sottrarre codici di inizializzazione impiegati nel processo di emissione o attivazione dei certificati di firma del codice destinati ai clienti. Questi codici non equivalgono automaticamente alla chiave privata finale, ma possono diventare determinanti quando permettono di completare procedure di enrollment, associare un certificato a un ambiente controllato o abusare di flussi operativi pensati per utenti legittimi. La compromissione non riguarda quindi soltanto la riservatezza dei dati di DigiCert: colpisce il sistema di fiducia attraverso il quale Windows e gli strumenti di sicurezza valutano l’origine di un eseguibile. Episodi precedenti hanno già mostrato il valore offensivo di questa tecnica, come nel caso dei certificati digitali Microsoft utilizzati per firmare malware. Un attore capace di ottenere una firma valida non rende il proprio codice sicuro, ma ne aumenta drasticamente la credibilità apparente.
I certificati rubati aiutano il malware a superare i controlli di reputazione
A partire dal 2024, e in modo più marcato nel 2026, CylindricalCanine avrebbe iniziato a firmare i propri componenti con certificati di code signing sottratti. La firma digitale permette di verificare che un file non sia stato modificato dopo la sottoscrizione e associa l’eseguibile a un’identità riconosciuta dall’autorità di certificazione. I sistemi di sicurezza utilizzano però questa informazione anche come segnale reputazionale: un programma firmato da un certificato considerato valido tende a generare meno avvisi rispetto a un binario sconosciuto e privo di firma. Ciò può ridurre le frizioni introdotte da Windows SmartScreen, agevolare l’esecuzione da parte dell’utente e indebolire policy che distinguono tra software firmato e non firmato. La stessa superficie era emersa quando il servizio Microsoft Trusted Signing veniva abusato per sottoscrivere malware. La firma non deve quindi essere trattata come una prova di legittimità assoluta: deve essere correlata con reputazione del certificato, catena di emissione, data di firma, prevalenza del file e comportamento osservato.
Golden Gh0st Loader prepara l’esecuzione del RAT in memoria

La prima fase della toolchain è Golden Gh0st Loader, incaricato di predisporre il caricamento del payload principale e ridurre la visibilità dell’operazione. CylindricalCanine ricorre spesso al DLL sideloading, avviando un’applicazione legittima che cerca una libreria in un percorso controllabile dall’attaccante. Inserendo una DLL malevola con il nome atteso, il gruppo induce il programma firmato a caricare il proprio codice nello stesso processo. Tra i software sfruttati figura TASLogin di Tencent, una scelta che può rendere il pacchetto più credibile per utenti e organizzazioni asiatiche. Il loader decifra il payload e lo esegue direttamente in memoria, limitando gli artefatti disponibili sul disco e complicando le analisi basate esclusivamente sugli hash dei file. I componenti successivi vengono spesso recuperati attraverso CDN, mescolando il traffico malevolo con infrastrutture normalmente considerate affidabili. Il sideloading continua a essere una tecnica trasversale utilizzata da gruppi criminali e APT, come dimostrato dagli attacchi in cui LockBit sfruttava uno strumento Microsoft per caricare una DLL ransomware.
Golden Gh0st RAT deriva da Gh0st RAT ma dispone di moduli aggiornati
Golden Gh0st RAT riprende la base dello storico Gh0st RAT, famiglia emersa nel 2008 e successivamente modificata da numerosi gruppi cinesi, ma introduce un’architettura profondamente personalizzata. Il malware utilizza plugin per estendere le funzioni senza distribuire ogni capacità nella configurazione iniziale. Gli operatori possono enumerare processi, acquisire screenshot, eseguire comandi, aprire URL e utilizzare l’host come proxy SOCKS o nodo di tunneling TCP. Il RAT integra inoltre keylogging e raccolta delle credenziali memorizzate nei browser, con attenzione anche ai prodotti diffusi nel mercato cinese. Questa ampiezza funzionale consente al gruppo di adattare l’attacco al ruolo del dispositivo compromesso: una workstation può diventare una fonte di credenziali e documenti, mentre un server o un computer con connettività privilegiata può essere usato come punto di transito verso sistemi interni. La famiglia Gh0st continua a fornire una base conveniente per nuovi impianti, come dimostrato dalla comparsa di SugarGh0st RAT nelle campagne di origine cinese.
Il RAT può creare accessi RDP amministrativi e cancellare le tracce
Tra le capacità più invasive figura la creazione di una backdoor RDP. Golden Gh0st RAT può aggiungere account amministrativi, modificare le configurazioni di Remote Desktop e intervenire sul registro di Windows, comprese chiavi collegate a Winlogon. In questo modo l’attore ottiene un accesso interattivo che può apparire simile a una normale sessione amministrativa, soprattutto quando utilizza nomi account plausibili e finestre operative compatibili con l’orario locale. Il malware contiene anche funzioni antiforensi per cancellare file, eliminare componenti temporanei e ripulire i registri degli eventi. Queste capacità non garantiscono la cancellazione completa delle evidenze, perché telemetria EDR, log centralizzati, firewall e sistemi di identità possono conservarne una copia, ma riducono gli artefatti presenti sull’host e rallentano la ricostruzione dell’intrusione. La combinazione di persistenza, credenziali rubate, tunneling e RDP offre al gruppo diverse strade alternative per rientrare nella rete anche dopo la rimozione del loader iniziale.
Le comunicazioni WebSocket usano porte basse e crittografia proprietaria
Il traffico di comando e controllo utilizza WebSocket su porte come 5188 e 5198. Il protocollo applicativo impiega un header personalizzato di 12 byte e chiavi hardcoded per cifrare i dati scambiati tra il RAT e l’infrastruttura degli operatori. L’uso di WebSocket consente di mantenere una comunicazione bidirezionale persistente e può confondersi con applicazioni web legittime quando le organizzazioni non ispezionano il traffico o non applicano baseline per host e destinazioni. Le porte impiegate non sono standard per i normali servizi WebSocket, ma il solo controllo numerico non è sufficiente: gli attaccanti possono cambiare rapidamente configurazione oppure passare attraverso proxy e CDN. Expel ha sviluppato strumenti per analizzare i campioni e decifrare il protocollo di Golden Gh0st RAT, rendendoli disponibili insieme agli indicatori di compromissione. Questo permette ai team difensivi di riconoscere le strutture dei pacchetti e ricostruire i comandi anche quando il contenuto non è leggibile direttamente nei log.
Il supporto tecnico diventa un bersaglio strategico della supply chain
Il caso DigiCert conferma che il supporto clienti non è più soltanto un punto di ingresso verso l’organizzazione colpita. In alcune aziende rappresenta un accesso indiretto ai clienti, ai loro certificati, alle procedure di autenticazione e agli strumenti utilizzati per risolvere problemi tecnici. Un allegato malevolo aperto su un endpoint del supporto può quindi produrre un effetto di supply chain, soprattutto quando l’operatore gestisce identità digitali, software, infrastrutture cloud o servizi di sicurezza. Le contromisure devono separare rigidamente i sistemi di ticketing dalle console sensibili, aprire gli allegati in ambienti isolati, impedire l’esecuzione di archivi e librerie non autorizzate e richiedere approvazioni multiple per l’emissione o l’attivazione dei certificati. I codici di inizializzazione devono essere a durata breve, vincolati al cliente e inutilizzabili da dispositivi non registrati. Sul fronte endpoint, occorre rilevare applicazioni legittime che caricano DLL da directory anomale, certificati appena emessi utilizzati su malware poco diffusi e sessioni RDP create dopo modifiche sospette al registro.
CylindricalCanine unisce malware proprietario e abuso di infrastrutture fidate
L’evoluzione del gruppo non dipende da una singola tecnica innovativa, ma dalla capacità di concatenare strumenti maturi e risorse legittime. CylindricalCanine usa ticket di supporto come canale di consegna, applicazioni firmate per il sideloading, CDN per distribuire i payload, certificati rubati per migliorare la reputazione e WebSocket per mantenere il controllo. Golden Gh0st RAT completa la catena con furto di credenziali, tunneling, accesso remoto e cancellazione delle tracce. L’incidente DigiCert mostra il passaggio più preoccupante: invece di limitarsi a eludere i controlli di sicurezza, il gruppo ha colpito direttamente uno dei meccanismi utilizzati dall’ecosistema per stabilire quali programmi siano affidabili. Per questo la risposta non può basarsi soltanto sulla verifica della firma digitale. La fiducia deve diventare contestuale, revocabile e continuamente verificata, soprattutto quando certificati e applicazioni legittime vengono trasformati in componenti della catena d’attacco.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









