daxin backdoor stupig rootkit

Daxin riemerge a Taiwan con il nuovo backdoor Stupig e persistenza pre-login

🛡️ Executive Summary

  • Symantec individua Daxin su un host taiwanese compromesso, oltre quattro anni dopo la precedente esposizione pubblica del rootkit.
  • Il nuovo backdoor Stupig si registra come provider di tastiera e viene caricato da winlogon con privilegi SYSTEM prima dell’autenticazione.
  • Timestamp del 2013, portale SSO obsoleto e persistenza silenziosa suggeriscono un’operazione di spionaggio preparata per durare nel tempo.

Backdoor.Daxin torna a emergere dopo oltre quattro anni di silenzio pubblico. Symantec lo ha individuato nel maggio 2026 su un host appartenente alla sussidiaria taiwanese di un produttore multinazionale high-tech, insieme a un secondo impianto finora sconosciuto, denominato Backdoor.Stupig. L’intrusione presenta caratteristiche compatibili con un’operazione di spionaggio di lungo periodo: accesso iniziale attraverso un portale SSO obsoleto, malware compilati nel 2013, persistenza nel processo winlogon.exe e capacità di operare prima dell’autenticazione dell’utente. La coesistenza dei due backdoor non prova da sola un’origine comune, ma delinea una toolchain progettata per mantenere accesso privilegiato e ridurre al minimo la visibilità difensiva.

Daxin riappare in una società high-tech attiva a Taiwan

Annuncio

Il campione di Daxin è stato rinvenuto su un sistema compromesso all’interno della filiale taiwanese di un produttore internazionale del settore tecnologico, un bersaglio coerente con operazioni rivolte a proprietà intellettuale, processi industriali e catene di approvvigionamento strategiche. Symantec aveva descritto Daxin nel 2022 come uno dei malware più avanzati associati ad attività di spionaggio riconducibili a interessi cinesi, ma il rootkit risultava operativo almeno dal 2009. Matrice Digitale ne aveva ricostruito le capacità nell’articolo dedicato a Daxin e alla lunga campagna di spionaggio attribuita alla Cina, evidenziando già allora il valore del malware per operazioni clandestine contro obiettivi governativi e tecnologici. Il ritorno in un ambiente taiwanese non rappresenta quindi una deviazione dal profilo storico della minaccia, ma una conferma del suo possibile utilizzo contro settori ad alto valore strategico. Taiwan concentra infatti capacità avanzate nei semiconduttori, nell’elettronica e nella manifattura, rendendo le società locali e le filiali di gruppi esteri bersagli privilegiati per attività di intelligence economica e tecnologica. Symantec non ha attribuito pubblicamente la nuova intrusione a un gruppo specifico, ma la presenza di Daxin, la natura dell’obiettivo e la qualità degli impianti rendono improbabile una normale operazione cybercriminale orientata al profitto immediato.

Il rootkit intercetta il traffico TCP e costruisce comunicazioni multi-hop

Daxin opera in modalità kernel e utilizza il traffico TCP destinato a servizi legittimi per instaurare un canale cifrato con l’operatore. Invece di aprire una normale connessione in uscita verso un server di comando e controllo facilmente individuabile, il rootkit può intercettare pacchetti in entrata, riconoscere sequenze specifiche e trasformare la sessione in un collegamento clandestino. Questa architettura riduce gli indicatori visibili ai sistemi di monitoraggio e consente al malware di convivere con servizi esposti senza creare nuove porte di ascolto evidenti. Daxin supporta inoltre comunicazioni multi-hop, permettendo agli aggressori di utilizzare un host compromesso come nodo intermedio verso altri sistemi della rete.

image 467
Daxin riemerge a Taiwan con il nuovo backdoor Stupig e persistenza pre-login 4

La capacità è particolarmente utile nelle organizzazioni segmentate, perché consente di raggiungere macchine non direttamente accessibili da Internet e di nascondere la posizione reale dell’infrastruttura C2. Il funzionamento è coerente con i principi generali descritti nella guida sui rootkit, le tecniche di occultamento e le contromisure difensive: più il malware si avvicina al kernel, più può manipolare la visibilità offerta agli strumenti che operano a un livello superiore. Il timestamp del campione, datato gennaio 2013, non dimostra che il file sia rimasto installato per tredici anni, perché i metadata possono essere alterati, ma indica almeno che gli operatori dispongono di codice molto vecchio ancora compatibile e sufficientemente efficace da superare controlli moderni.

L’accesso iniziale potrebbe essere partito da un portale Digiwin obsoleto

L’indagine indica come possibile punto d’ingresso un portale single sign-on Digiwin basato su versioni di Java Development Kit risalenti al periodo 2009-2011 e non più supportate. Un’applicazione di autenticazione esposta e mantenuta su componenti legacy costituisce un bersaglio particolarmente prezioso: centralizza l’accesso, interagisce con identità aziendali e spesso dispone di connettività verso sistemi interni considerati affidabili. Symantec non ha indicato pubblicamente la vulnerabilità precisa utilizzata, quindi non è possibile stabilire se gli aggressori abbiano sfruttato una falla nota, credenziali compromesse o una configurazione debole. Il contesto suggerisce però un rischio strutturale: un portale SSO non aggiornato può diventare la porta d’ingresso verso ambienti nei quali i singoli endpoint risultano meglio protetti. Una volta ottenuto accesso iniziale, gli operatori avrebbero installato Daxin e Stupig, separando le funzioni di comunicazione nascosta da quelle di persistenza e controllo locale. È uno schema ricorrente nelle campagne APT cinesi più recenti, dove l’accesso a server periferici o piattaforme aziendali precede la distribuzione di impianti proprietari, come osservato nell’analisi su LucidRook e le operazioni di spionaggio contro organizzazioni di Taiwan. La prima misura difensiva non consiste quindi soltanto nel cercare i due malware, ma nel censire i portali legacy, verificare le versioni Java, limitare l’esposizione esterna e analizzare gli accessi storici ai servizi di autenticazione.

Stupig si carica come provider di tastiera prima del login

La scoperta più rilevante riguarda Backdoor.Stupig, un impianto mai documentato in precedenza che utilizza una tecnica di persistenza poco comune. Il malware viene installato in System32 con il nome kbdus1.dll e registrato come provider di layout di tastiera. Windows carica questi componenti attraverso winlogon.exe, processo centrale nella gestione dell’autenticazione e della sessione interattiva. In questo modo Stupig viene eseguito prima che l’utente effettui il login e ottiene privilegi SYSTEM, senza dipendere da normali chiavi Run, attività pianificate o servizi facilmente riconoscibili. La scelta del nome simile a quello di una DLL legittima statunitense contribuisce inoltre a ridurre la probabilità che un controllo superficiale identifichi il file come anomalo. L’esecuzione pre-login offre un ulteriore vantaggio: il malware può operare senza generare i normali eventi di accesso associati a un account interattivo, rendendo più difficile collegare l’attività a una sessione utente. La tecnica dimostra una conoscenza approfondita dell’architettura di Windows e ricorda la logica delle persistenze che abusano di componenti caricati automaticamente da processi privilegiati. In un ambiente compromesso, la semplice verifica dei programmi in avvio automatico non sarebbe quindi sufficiente; servono controlli sull’integrità dei provider di tastiera, sulle DLL caricate da winlogon e sulle differenze rispetto alle immagini di sistema attese.

Il prefisso “stupig” apre una shell SYSTEM dalla schermata di accesso

Stupig monitora i nomi utente digitati nella schermata di login e attiva funzionalità nascoste quando rileva stringhe che iniziano con “stupig”. L’operatore può utilizzare questa condizione come comando clandestino per eseguire istruzioni o aprire un prompt dei comandi con privilegi elevati direttamente prima dell’autenticazione. Il backdoor contiene inoltre hook inline capaci di intercettare credenziali e dati elaborati dai componenti coinvolti nel login. Questa combinazione offre agli attaccanti più modalità di accesso: possono mantenere una presenza automatica a ogni avvio, catturare informazioni inserite dagli utenti e utilizzare una stringa speciale per richiamare una shell privilegiata quando dispongono di accesso alla console o a un canale remoto compatibile. La tecnica è particolarmente pericolosa perché trasforma un elemento ordinario dell’interfaccia di autenticazione in un meccanismo di comando. Non richiede la creazione visibile di un nuovo account amministrativo e può aggirare parte dei controlli basati sugli eventi di logon, dato che il codice è già in esecuzione nel contesto di winlogon. Anche Stupig presenta un timestamp del febbraio 2013, molto vicino a quello di Daxin. I timestamp possono essere falsificati, ma la prossimità temporale, la presenza sullo stesso host e il livello tecnico simile sostengono l’ipotesi di strumenti sviluppati o preparati nello stesso periodo operativo.

La coesistenza dei malware suggerisce una campagna coordinata ma non prova l’attribuzione

Symantec non ha individuato sovrapposizioni dirette nel codice, nelle configurazioni o nei protocolli che consentano di attribuire con certezza Daxin e Stupig allo stesso sviluppatore. La loro presenza contemporanea può derivare da una toolchain comune, da operatori che hanno ereditato strumenti diversi oppure da una compromissione stratificata nel tempo. Tuttavia, alcuni elementi rendono plausibile un’operazione coordinata: entrambi i campioni riportano date di compilazione del 2013, utilizzano tecniche avanzate di occultamento e privilegio e sono stati installati su un obiettivo coerente con interessi di spionaggio tecnologico. L’assenza di ransomware, estorsione o monetizzazione diretta rafforza inoltre il profilo intelligence-driven dell’intrusione. Il quadro si inserisce nella più ampia evoluzione delle operazioni cinesi basate su impianti kernel-level e accessi persistenti a infrastrutture sensibili, analizzata da Matrice Digitale nel dossier su SprySOCKS, UNC6508 e i vettori avanzati dello spionaggio cinese. L’attribuzione geopolitica deve comunque restare distinta dall’analisi tecnica: Daxin è storicamente associato ad attività cinesi, ma il nuovo incidente richiede ulteriori indicatori infrastrutturali, operativi e temporali prima di collegarlo formalmente a un’unità o a un gruppo specifico.

La difesa deve partire da winlogon, provider di input e sistemi legacy

La risposta richiede controlli più profondi di una normale scansione antivirus. Le organizzazioni devono verificare tutte le DLL registrate come provider di layout di tastiera, confrontare hash e firme digitali con quelli attesi e analizzare i moduli caricati da winlogon.exe. La presenza di file come kbdus1.dll in System32, soprattutto se privi di firma o non presenti nelle baseline, deve generare un’indagine immediata. È necessario esaminare hook inline, modifiche alle chiavi di registro relative agli input method, traffico TCP anomalo e host che fungono da relay verso altri segmenti. Sul piano preventivo, i portali SSO e le applicazioni basate su JDK obsoleti devono essere aggiornati, isolati o rimossi dall’esposizione pubblica. La segmentazione deve impedire a un server di autenticazione compromesso di raggiungere liberamente workstation e sistemi industriali, mentre EDR e strumenti di integrity monitoring devono includere i processi pre-login e i driver kernel. Daxin e Stupig mostrano infine il limite delle difese concentrate soltanto sulle minacce recenti: codice vecchio, stabile e poco diffuso può risultare più efficace di un malware appena sviluppato, proprio perché rimane fuori dalle campagne rumorose e dai controlli costruiti sugli indicatori più comuni.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto