La campagna StealC V2 che sfrutta file .blend malevoli per colpire utenti Blender rappresenta una delle operazioni più insidiose degli ultimi mesi, secondo l’analisi approfondita di Morphisec, che intercetta l’attacco grazie alla propria tecnologia di deception e prevenzione deterministica. Nel primo periodo emergono elementi chiave come l’abuso della funzione Auto Run Python Scripts di Blender, la distribuzione dei modelli compromessi tramite piattaforme note come Cgtrader, l’evoluzione costante del codice StealC V2 e l’uso di infrastrutture legate ad attori russi già attivi in campagne precedenti. La combinazione di script Python incorporati, loader PowerShell e archivi Zip contenenti ambienti Python armati crea una catena d’infezione estremamente rapida. La presenza di Pyramid C2, l’impersonificazione della Electronic Frontier Foundation in attacchi passati e gli indicatori di compromissione rilevati mostrano una continuità operativa che rafforza l’attribuzione verso attori russi. Gli utenti più esposti risultano quelli che lavorano con asset 3D e abilitano l’esecuzione automatica degli script, mentre la piattaforma Morphisec interrompe il furto dati generando credenziali decoy che indirizzano l’infostealer su percorsi falsi. L’analisi evidenzia la rapidità evolutiva del malware, aggiornato anche nel luglio 2025, e la capacità di colpire browser, wallet, estensioni, app di messaggistica e client VPN.
Cosa leggere
Blender come vettore di attacco
Blender si afferma come uno dei software più potenti nel panorama della grafica tridimensionale, grazie a una comunità ampia, alla natura open-source e alla disponibilità gratuita su Windows, macOS e Linux. L’ecosistema di add-on e la possibilità di integrare script Python rendono la piattaforma estremamente flessibile, ma anche vulnerabile. Funzioni come bpy.data.texts, che incorporano script all’interno dei file .blend, rappresentano un punto di ingresso privilegiato per attori malevoli che sfruttano modelli condivisi su marketplace e repository gratuiti. L’impostazione Auto Run Python Scripts apre la strada all’esecuzione immediata di codice non verificato, una caratteristica che molti utenti, soprattutto professionisti e animatori, attivano per accelerare il workflow creativo. Gli attaccanti mirano a macchine reali che usano GPU dedicate, evitando sandbox o ambienti virtualizzati che possano ostacolare l’infezione. L’ampia diffusione di Blender, combinata con la possibilità di distribuire asset in modo anonimo, crea un terreno fertile per operazioni stealth come quella legata a StealC V2.
Distribuzione dei file .blend malevoli
L’operazione osservata da Morphisec parte dalla pubblicazione di modelli 3D su piattaforme come Cgtrader, presentati come risorse gratuite per artisti digitali. Al loro interno, script come Rig_Ui.py sembrano fornire funzioni legittime di rigging o interfacce per animazioni, ma contengono routine malevole integrate. Quando l’utente apre il file con la funzione Auto Run attiva, lo script avvia una sequenza automatizzata che scarica da domini esterni un loader e uno script PowerShell, seguiti da archivi Zip armati. La natura multilivello dell’attacco, che passa per più domini e file, riduce la possibilità di rilevamento tramite firme statiche o controlli superficiali. Gli archivi contengono un ambiente Python modificato e una versione personalizzata di StealC, pronta a eseguire funzioni di raccolta credenziali, analisi di filesystem, furto cookie, esfiltrazione di dati applicativi e lettura dei contenuti di più profili browser. L’uso di URL dinamiche basate su piattaforme Workers e indirizzi IP multipli contribuisce alla resilienza dell’infrastruttura malevola.
Catena d’infezione e strumenti impiegati
La catena dell’attacco prevede una procedura ben strutturata. L’apertura del file .blend avvia lo script Python incorporato, che scarica un loader da un dominio creato appositamente per sembrare correlato a Blender. Il loader attiva un secondo stadio basato su PowerShell, che procede a scaricare archivi Zip come Blenderx.zip e ZalypaGyliveraV1.zip. I pacchetti vengono estratti nelle cartelle temporanee del sistema, dopodiché file LNK opportunamente configurati vengono copiati nello Startup di Windows per garantire la persistenza. La presenza di Pyramid C2 come infrastruttura di comando e controllo permette il download di payload crittografati tramite ChaCha20, che restituiscono all’attaccante una gamma di funzionalità avanzate, dall’estrazione delle credenziali alla manipolazione dei processi. La scelta di frammentare le operazioni in diversi passaggi, con hash e payload distinti, consente alla campagna di variare costantemente gli indicatori, rendendo più complesso il rilevamento su piattaforme come VirusTotal, dove molti campioni presentano tassi di individuazione molto bassi.
StealC V2 come infostealer in rapida evoluzione
StealC V2 emerge come un infostealer commerciale distribuito su marketplace underground a un costo di 183 euro al mese, con formule trimestrali e semestrali che arrivano fino a 733 euro. Le sue capacità si estendono a oltre 23 browser, includendo Chromium, Firefox e derivati come Opera. La decrittazione server-side delle credenziali amplifica la complessità dei controlli difensivi, mentre il supporto per più di 100 estensioni consente il furto di cookie, token di sessione e dati salvati in plugin popolari. Il malware si concentra anche sui wallet desktop, con oltre 15 applicazioni target, e sui client di messaggistica come Telegram e Discord. Ulteriori funzioni riguardano client VPN come ProtonVPN, OpenVPN e client email come Thunderbird. L’aggiornamento dell’11 luglio 2025 introduce un bypass UAC più efficace e migliora la dashboard per gli operatori, consolidando il suo ruolo nella scena cybercriminale come soluzione low-tier ma particolarmente efficace per campagne distribuite.
Indicatori di compromissione e infrastruttura russa
Gli indicatori identificati da Morphisec includono indirizzi IP e URL che mostrano una notevole frammentazione geografica e l’uso di domini dinamici. La campagna ricicla infrastrutture impiegate anche in attacchi precedenti, tra cui operazioni che impersonavano la Electronic Frontier Foundation per colpire giocatori di Albion Online con versioni modificate di StealC V2. L’utilizzo coordinate di grandi quantità di URL su piattaforme Workers, insieme alla presenza di indirizzi collocati su reti note per attività fraudolente, suggerisce la continuità di un gruppo organizzato con risorse notevoli. Alcuni indicatori principali comprendono indirizzi associati a server che distribuiscono gli archivi Zip, file Blender compromessi e hash dei vari componenti payload. Sebbene l’articolo non possa elencare tutti gli IOC in modo esaustivo, la loro natura e distribuzione dipingono il quadro di un’infrastruttura modulare progettata per garantire sia resilienza sia capacità di rigenerazione rapida.
Comportamento evasivo e uso di documenti decoy
Gli attori responsabili della campagna impiegano tecniche evasive basate sull’esecuzione del malware in background, camuffando l’attività malevola con documenti o funzioni apparenti legate al rigging o all’animazione del modello 3D. L’encryption dei payload tramite ChaCha20 e la moltiplicazione dei domini riducono ulteriormente la rilevabilità dei campioni. La catena operativa, interamente nascosta all’utente fino all’attivazione della persistenza, sfrutta il legame tra creatività digitale e strumenti automatizzati, puntando su un settore in cui la condivisione massiva di risorse solleva spesso meno sospetti rispetto ad altre piattaforme. La sovrapposizione con campagne precedenti, incluse quelle che miravano a community di gaming come Albion Online, indica una strategia basata su cluster di target ricorrenti e sull’impiego di tecniche di delivery ormai collaudate.
Difesa deterministica con Morphisec
Morphisec consolida la propria tecnologia attraverso un approccio centrato sulla deception ad alta fedeltà, generando credenziali decoy in memoria e nello storage del browser. Quando StealC tenta di accedere a questi dati, la piattaforma ne intercetta immediatamente il comportamento e termina i processi correlati senza permettere alcuna esfiltrazione. Questo approccio elimina la necessità di basarsi su firme statiche ed evita impatti sulle performance del sistema. Morphisec integra inoltre monitoraggio comportamentale in grado di identificare azioni come la creazione di file LNK sospetti, l’estrazione non autorizzata di archivi Zip e la comunicazione verso server C2 con pattern riconoscibili. La capacità di prevenire infezioni anche quando i file malevoli provengono da piattaforme apparentemente affidabili consente di neutralizzare campagne stealth come StealC V2 prima che possano raccogliere informazioni sensibili o comprometterne l’integrità.
Raccomandazioni per la sicurezza degli utenti Blender
Gli utenti di Blender si trovano in una posizione delicata, soprattutto chi opera quotidianamente con asset scaricati da marketplace o repository di terze parti. La funzione Auto Run Python Scripts rappresenta il primo punto di controllo: disabilitarla riduce in modo significativo la possibilità di esecuzione involontaria di script malevoli. Verificare la provenienza dei file e analizzare gli script incorporati tramite gli strumenti interni di Blender costituisce una misura essenziale, soprattutto nel caso di modelli particolarmente complessi o provenienti da fonti non certificate. Morphisec consiglia inoltre di mantenere monitorate eventuali anomalie nei processi di sistema, come l’invocazione non richiesta di PowerShell o la comparsa di file LNK in cartelle di avvio. L’approfondimento tecnico fornito nella propria analisi dimostra quanto sia cruciale adottare un approccio basato su prevenzione e controllo comportamentale.
