Sommario
Il gruppo APT indiano noto come Patchwork, già attivo da oltre un decennio in campagne di spionaggio contro Cina, Pakistan e altri paesi del Sud-est asiatico, ha lanciato nel 2025 una nuova operazione contro aziende del comparto difesa in Turchia, con l’obiettivo di sottrarre informazioni strategiche su missili guidati e sistemi UAV. La campagna si inserisce in un contesto geopolitico particolarmente teso, segnato dall’approfondimento della cooperazione militare tra Turchia e Pakistan, due paesi che storicamente si trovano in contrapposizione rispetto all’India. Il gruppo, noto anche con gli alias APT-C-09, APT-Q-36, Dropping Elephant, Quilted Tiger e Zinc Emerson, ha condotto l’operazione attraverso tecniche sofisticate di spear-phishing. Le email inviate alle vittime si presentavano come inviti a conferenze su tecnologie unmanned, inducendo all’apertura di file LNK contenenti payload malevoli. Una volta avviata, la catena di esecuzione si articolava in cinque fasi con l’uso di PowerShell e moduli malware evoluti capaci di evadere la maggior parte dei sistemi di difesa endpoint.
Tattiche di spear-phishing su misura
Le esche digitali utilizzate da Patchwork si basano su inviti falsi a conferenze relative ai sistemi unmanned, argomento di forte interesse per i target industriali turchi. Una volta cliccato il file LNK, il comando PowerShell si connette a un dominio creato ad hoc, expouav.org, attivo dal 25 giugno 2025, che ospita documenti PDF decoy che mimano quelli di siti legittimi come waset.org.
La catena di esecuzione prevede la scrittura di task pianificati per avviare DLL malevoli tramite side-loading, seguiti da shellcode che avvia la fase di ricognizione, cattura screenshot e avvia esfiltrazione di dati su server esterni. L’intero processo avviene in background con massima discrezione, sfruttando compressione NRV2D e byte magic camuffati per evadere le scansioni statiche. Il gruppo adatta costantemente le proprie email esca in funzione del target. Gli esperti hanno osservato l’uso di inglese formale e terminologia tecnica, elementi che aumentano il tasso di apertura e riducono i sospetti.
Evoluzione tecnica del malware Patchwork
Da DLL x64 a PE x86 per maggiore efficacia
Una delle novità principali nella campagna 2025 è la transizione architetturale del malware, che passa da DLL x64 a PE x86. Questo cambiamento consente una riduzione del payload, una maggiore stealthness e un aumento della compatibilità con sistemi legacy. Il malware viene caricato direttamente in memoria tramite loader riflessivi, evitando così l’accesso al disco e minimizzando le tracce lasciate nel sistema. Il codice è offuscato con ProGuard, mentre le configurazioni sono crittografate e decifrate solo al momento dell’esecuzione. I comandi sono trasmessi attraverso protocolli TCP modificati e header personalizzati, con traffico cifrato mediante AES e RC4, eludendo così le difese più comuni. I plugin aggiuntivi sono scaricati dinamicamente dai server C2 e memorizzati in cartelle temporanee, con codifica XOR personalizzata.
Persistenza e evasione delle difese
Il malware è progettato per persistere sul sistema attraverso task pianificati, modifiche al registry e rotazione continua dei domini C2. Gli analisti di Arctic Wolf Labs e Knownsec 404 Team hanno riscontrato similarità tecniche con TA428, gruppo con cui Patchwork ha condiviso campagne, malware (come PhantomNet e Brute Ratel C4) e obiettivi strategici. Gli attaccanti testano le nuove varianti in ambienti virtualizzati prima del rilascio per garantirne la compatibilità. Le routine identificate durante il reverse engineering mostrano una sofisticazione crescente e una capacità adattiva post-patch, segnale evidente di investimenti strutturati nello sviluppo.
Obiettivi industriali e implicazioni geopolitiche
Il bersaglio principale della campagna è rappresentato dalle aziende turche impegnate nella produzione di missili guidati di precisione e sistemi UAV, comparti in cui Ankara detiene il 65% delle esportazioni globali. L’operazione coincide con un periodo di particolare fermento tecnologico, segnato dalla sperimentazione turca di missili ipersonici e dal rafforzamento dei legami strategici con Islamabad.
Gli attacchi avvengono in concomitanza con eventi geopolitici e culturali sensibili. Patchwork sfrutta queste finestre per aumentare l’efficacia delle campagne phishing. Le email sono formulate per suggerire urgenza e coinvolgimento in iniziative di cooperazione internazionale. Una volta infettati, i sistemi perdono dati proprietari riservati, con implicazioni su contratti, sicurezza nazionale e equilibri regionali. Le istituzioni turche, consapevoli del rischio, hanno reagito con il blocco dei domini falsi e l’adozione di sistemi EDR avanzati. Tuttavia, la campagna dimostra quanto sia difficile contrastare un attore APT motivato e tecnicamente preparato.
Dettaglio della catena di esecuzione
La catena di esecuzione identificata si articola in cinque stadi. Tutto ha inizio con un file LNK che invoca PowerShell per connettersi a expouav.org. Da lì vengono scaricati DLL side-loaded tramite task pianificati. Il successivo shellcode attiva moduli di ricognizione, tra cui cattura screenshot, raccolta di credenziali e informazioni su file locali. I dati sono esfiltrati in HTTPS cifrato verso server C2, i cui IP e domini ruotano con frequenza. Le DLL e i file scaricati sono codificati in base64, decriptati solo in fase di esecuzione. I comandi sono mascherati tramite header non convenzionali, e il traffico di rete viene offuscato con compressione NRV2D e sostituzione dei byte magic, rendendo inefficace la maggior parte delle scansioni antivirus statiche.
Raccomandazioni per la mitigazione degli attacchi Patchwork
Le organizzazioni che operano in settori sensibili dovrebbero adottare misure preventive avanzate, tra cui:
- patch management costante
- segmentazione delle reti interne
- implementazione di soluzioni EDR con rilevamento comportamentale
- blocco dei file LNK a livello gateway email
- filtri per l’analisi del traffico HTTPS anomalo
- formazione specifica sul phishing mirato per il personale
È inoltre essenziale monitorare eventi culturali e conferenze nel settore difesa, potenziali vettori di attacchi future. Le analisi di Arctic Wolf Labs e QiAnXin forniscono indicatori di compromissione aggiornati, fondamentali per il rafforzamento delle strategie di cyber resilience.
