Sommario
Il gruppo di cyber spionaggio IronHusky, attivo con continuità dal 2017 e associato a operazioni d’intelligence contro obiettivi diplomatici, industriali e militari, è tornato sulla scena internazionale con una nuova versione del proprio malware MysterySnail RAT. Questo trojan ad accesso remoto, già noto per l’utilizzo in una catena di infezione sfruttante la vulnerabilità zero-day CVE-2021-40449 in Windows Kernel, ha subito un’evoluzione significativa, assumendo oggi una forma modulare, scalabile e più difficile da rilevare.
Secondo le analisi di Kaspersky, l’attività legata a MysterySnail è ripresa a pieno regime nel primo trimestre 2025. Le nuove versioni del malware mostrano un’architettura parzialmente riscritta, finalizzata a rendere invisibile la persistenza, migliorare le capacità di esfiltrazione dati, e garantire un controllo remoto stabile, affidabile e adattabile a diversi ambienti target.
Caratteristiche principali della nuova versione: modularità, crittografia e infrastruttura C2 aggiornata
Le principali modifiche introdotte nel nuovo MysterySnail RAT riguardano la struttura interna del malware, che ora risulta composta da moduli caricabili dinamicamente, scaricati on-demand dal server C2 in base alle caratteristiche dell’host infetto. Ogni modulo è scritto in linguaggio C++, compilato con tecniche anti-debug e offuscato tramite tool di packing personalizzati.
Tra le funzionalità principali incluse:
- Enumerazione di file, directory e processi attivi
- Cattura di schermate periodiche
- Recupero di credenziali salvate nel sistema
- Accesso e monitoraggio delle porte seriali e di rete
- Download/upload di payload aggiuntivi
La comunicazione con il server di comando e controllo è cifrata con una variante del protocollo RC4, la cui chiave è derivata da un seed statico e un handshake iniziale. I comandi sono trasmessi sotto forma di messaggi binari codificati, inseriti in pacchetti HTTP POST camuffati da richieste regolari. Il server C2 è ospitato su VPS a noleggio temporaneo, solitamente configurati con durata operativa limitata (da 72 ore a 10 giorni) e posizionati geograficamente in Asia e Europa orientale.
La RAT include anche un modulo per la disattivazione dei log di sistema e la soppressione degli eventi di sicurezza, utilizzando strumenti nativi come wevtutil per mascherare l’attività malevola in ambienti dove il controllo log è abilitato.
Catena di infezione: attacco mirato tramite documenti RTF e sfruttamento delle falle di sistema
La campagna 2025 si caratterizza per l’impiego di un dropper iniziale veicolato attraverso file RTF (Rich Text Format) manipolati, contenenti oggetti OLE malevoli che sfruttano vulnerabilità note nel motore MSHTML. Una volta aperto, il documento esegue uno script embedded che scarica un primo stage PowerShell, a sua volta incaricato di stabilire contatto con il dominio C2 e recuperare il loader di MysterySnail.
Il loader, firmato con certificati validi rubati da fornitori hardware asiatici, installa la backdoor nel percorso %APPDATA%\Microsoft\Windows\WinCache, creando una chiave RunOnce per garantire l’esecuzione al riavvio. Il persistence handler modifica inoltre ACL e permessi dei file per evitarne la cancellazione manuale.
Il tutto avviene in meno di 15 secondi, rendendo la fase di compromissione estremamente rapida e silenziosa. Le tecniche utilizzate indicano un livello di preparazione elevato, con targeting selettivo e payload personalizzati per ciascun obiettivo.
Secondo le tracce osservate, i settori attaccati includono:
- ambasciate e missioni consolari in Asia centrale e Medio Oriente
- istituzioni accademiche con laboratori di ricerca in AI e quantum computing
- aziende aerospaziali e fornitori di tecnologie per telecomunicazioni 5G
La precisione degli attacchi suggerisce una fase di ricognizione avanzata, e il malware dimostra di essere pensato per operazioni di lungo termine con basso profilo.
MysteryMonoSnail: una backdoor ridotta per infiltrazioni leggere e persistenza non invasiva
Parallelamente alla nuova versione modulare del malware, gli analisti di Kaspersky hanno identificato una variante denominata MysteryMonoSnail, progettata per scenari in cui l’obiettivo è mantenere una presenza leggera e invisibile all’interno dei sistemi compromessi. A differenza del RAT principale, che utilizza una struttura a moduli multipli scaricabili dinamicamente, MysteryMonoSnail è contenuto in un singolo file eseguibile, con dimensioni ridotte e funzioni minime ma sufficienti per garantire controllo remoto, esfiltrazione e ricognizione.
La comunicazione con i server C2 avviene tramite WebSocket, una scelta che consente connessioni persistenti e meno visibili ai sistemi IDS tradizionali, che si concentrano spesso sul traffico HTTP/S. Il malware può inviare e ricevere comandi in tempo reale, mantenendo una comunicazione cifrata con i server già noti per l’hosting del RAT completo.
Le funzionalità integrate sono limitate a:
- esplorazione di directory e lettura contenuti
- scrittura di file remoti
- esecuzione di comandi di sistema
- lancio di processi in background
Questa versione è particolarmente utile in ambienti ad alta sorveglianza, dove un’esfiltrazione massiva o un comportamento anomalo dei processi potrebbe attirare attenzione. MysteryMonoSnail rappresenta un avamposto per mantenere la visibilità su un target senza generare attività sospette, ed è verosimilmente utilizzato per ottenere informazioni preliminari prima del deploy del malware principale, oppure per monitorare obiettivi marginali in contesti già compromessi.
Tecniche avanzate di evasione e persistenza: antiforensics e modularità come strategia operativa
Entrambe le varianti del malware fanno ampio uso di tecniche di evasione statica e dinamica, a partire dall’uso di librerie legittime caricate in sideloading, firmate da terze parti fidate come Cisco, fino a strutture di payload che si affidano a caricamenti condizionali da file esterni.
Il componente chiamato MYFC.log, ad esempio, contiene API Windows necessarie al RAT principale, ma non è incluso direttamente nel binario. Questo frammenta l’analisi, rendendo impossibile determinare le azioni del malware solo da un singolo artefatto. Inoltre, la comunicazione C2 si appoggia a domini che cambiano con frequenza, a rotazione tra indirizzi già associati a IronHusky in passato. Alcuni di questi domini mantengono refusi testuali identici a quelli presenti nella campagna del 2021, elemento che conferma la continuità operativa del gruppo.
La persistenza è ottenuta con modifica di chiavi Run e RunOnce nel registro di sistema, talvolta celate sotto nomi compatibili con il sistema operativo o mascherate da processi nativi (svchost, wscsvc). Inoltre, i file salvati sono protetti tramite modifica dei permessi NTFS che impedisce la rimozione manuale o automatizzata da parte di antivirus tradizionali.
Implicazioni strategiche e continuità dell’arsenale APT cinese
Il ritorno di MysterySnail in versione aggiornata e l’impiego in parallelo di una sua declinazione più leggera indicano che il gruppo IronHusky non ha mai abbandonato la sua infrastruttura né i propri strumenti di compromissione, ma ha scelto un momento operativo adeguato per riattivarli in modo selettivo. Gli attacchi osservati nel 2025 contro target governativi e scientifici in Mongolia e Russia suggeriscono che le campagne siano coordinate con obiettivi geopolitici, orientati alla raccolta di dati su risorse strategiche, accordi bilaterali, tecnologia critica e processi decisionali.
La modularità crescente del malware lo rende adatto sia a operazioni brevi che a campagne di lungo termine, in cui la persistenza e la capacità di aggiornamento incrementale dei componenti sono fondamentali per evitare rilevamenti e mantenere il controllo dell’host. Inoltre, l’utilizzo di tecniche di evasione come il piping server ppng.io e i file trigger esterni testimoniano una cura nel design che caratterizza solo attori APT altamente organizzati.
Questa evoluzione conferma che i gruppi sponsorizzati da stati continuano a investire in arsenali collaudati, che si adattano nel tempo e vengono riutilizzati in nuove ondate, sfruttando la scarsa memoria operativa della threat intelligence globale.
Un caso emblematico di resurrezione APT tra silenzio operativo e riutilizzo sofisticato
La campagna MysterySnail 2025 dimostra che la minaccia non sparisce, si eclissa. Quando un malware ben costruito come MysterySnail cessa di essere monitorato attivamente o considerato superato, diventa terreno fertile per una nuova ondata di attacchi, spesso più raffinati, più silenziosi e più efficaci.
In uno scenario dove la detection basata su firma cede il passo alla necessità di analisi comportamentali e threat hunting proattivo, solo i team che mantengono attivo il monitoraggio retrospettivo e correlano indicatori vecchi e nuovi sono in grado di intercettare queste minacce prima che causino danni estesi.
MysterySnail non è tornato per caso: è stato riattivato perché funziona, perché elude ancora oggi la maggior parte delle soluzioni tradizionali, e perché i suoi sviluppatori ne conoscono a fondo il potenziale operativo.
