Speagle è un nuovo infostealer che sfrutta Cobra DocGuard per colpire in modo mirato utenti specifici e ambienti sensibili. Il malware utilizza infrastrutture legittime compromesse per nascondere l’esfiltrazione dei dati. L’operazione suggerisce un’attività di cyber spionaggio avanzato. La minaccia introduce un modello operativo sofisticato basato su dipendenza da software legittimo e targeting selettivo. A differenza degli infostealer tradizionali, Speagle funziona solo su sistemi dove è installato Cobra DocGuard, soluzione sviluppata dall’azienda cinese EsafeNet per la protezione e crittografia dei documenti. Questo elemento indica una campagna mirata e non opportunistica, probabilmente collegata a obiettivi di intelligence industriale o militare.
Cosa leggere
Speagle utilizza Cobra DocGuard come infrastruttura di comando e controllo
Il malware adotta una tecnica particolarmente avanzata: sfrutta direttamente le funzionalità del software di sicurezza compromesso per comunicare con i server di comando e controllo. Gli attaccanti hanno ottenuto accesso a un server legittimo di Cobra DocGuard e lo utilizzano per ricevere i dati sottratti. Questo approccio consente di mascherare completamente il traffico malevolo, che appare come comunicazione autorizzata tra client e server. Il risultato è un’elevata capacità di evasione rispetto ai sistemi di rilevamento tradizionali, che difficilmente segnalano attività apparentemente legittime. L’attore dietro la campagna, identificato come Runningcrab, non è ancora associato a gruppi noti. Tuttavia, il livello tecnico e il targeting suggeriscono risorse avanzate, compatibili con operazioni sponsorizzate da stati o contractor specializzati.
Il malware opera solo su sistemi con Cobra DocGuard installato
Una delle caratteristiche più distintive di Speagle è la sua natura selettiva. Il malware verifica la presenza di Cobra DocGuard attraverso controlli nel registro di sistema, in particolare nelle chiavi HKEY_LOCAL_MACHINE. Se il software non viene rilevato, molte delle funzionalità malevole non vengono eseguite. Questo comportamento riduce drasticamente la superficie di esposizione e rende più difficile l’analisi da parte dei ricercatori. Inoltre, indica che gli attaccanti conoscono in anticipo l’ambiente target, rafforzando l’ipotesi di un’operazione mirata. Il malware si presenta come eseguibile .NET a 32 bit, progettato per integrarsi con il sistema e sfruttare componenti già presenti. Questa scelta tecnica consente maggiore compatibilità e facilita l’integrazione con il software compromesso.
Speagle raccoglie informazioni in più fasi con approccio modulare
Il processo di raccolta dati segue una struttura multi-fase. Inizialmente Speagle acquisisce informazioni di base come nome utente, hostname e identificativi interni come ClientID e OldID. Questi dati vengono organizzati in una struttura chiamata ErrorReport, utilizzata per tutte le successive operazioni. Nella fase successiva il malware esegue query WMI su numerose classi di sistema, raccogliendo dettagli su account, processi, servizi, dischi e configurazioni di rete. Questo livello di raccolta consente di costruire un profilo completo del sistema compromesso. Speagle esplora poi il file system con una logica selettiva, evitando directory di sistema e concentrandosi su contenuti potenzialmente rilevanti. Le cartelle utente vengono analizzate in profondità, inclusi Documents, Desktop e Downloads, fino a cinque livelli, aumentando le probabilità di individuare file sensibili.
Esfiltrazione dati tramite server compromessi e crittografia avanzata
I dati raccolti vengono preparati per l’esfiltrazione attraverso un processo strutturato. Il malware serializza le informazioni in XML, le comprime utilizzando Deflate e applica crittografia AES-128 in modalità CBC. La chiave viene derivata da un hash SHA256 generato da una stringa interna al codice. Il risultato viene convertito in formato esadecimale e inviato tramite richieste HTTP POST verso il server compromesso. Gli header includono informazioni identificative che consentono agli attaccanti di organizzare i dati ricevuti. Questo metodo garantisce che il traffico rimanga indistinguibile da quello legittimo, aumentando la persistenza dell’infezione. L’esfiltrazione avviene in più fasi, riducendo il rischio di perdita dati in caso di interruzione.
Speagle prende di mira anche browser e dati sensibili degli utenti
Una fase avanzata del malware riguarda l’analisi dei browser. Speagle accede alle directory AppData per individuare database SQLite contenenti cronologia, credenziali e dati di autofill. Il malware esegue query dirette per estrarre URL, titoli e informazioni di login. Vengono raccolti anche i bookmark e i file di download, ampliando ulteriormente il profilo dell’utente. Questo tipo di accesso consente agli attaccanti di ottenere credenziali e abitudini di navigazione, elementi fondamentali per ulteriori compromissioni. La raccolta di dati browser rappresenta una componente standard negli infostealer, ma in questo caso è integrata in una struttura molto più ampia e sofisticata.
Il malware si autoelimina sfruttando il driver di Cobra DocGuard
Speagle include un meccanismo avanzato di autoeliminazione che sfrutta il driver legittimo di Cobra DocGuard. Il malware interagisce con il device FileLock tramite chiamate DeviceIoControl, utilizzando le stesse funzionalità del software per rimuovere le proprie tracce. Dopo aver completato l’operazione, l’eseguibile viene rinominato con un nome temporaneo e marcato per la cancellazione. Questo processo rende estremamente difficile l’analisi forense e riduce la possibilità di rilevamento post-infezione. L’uso di componenti legittimi per l’autoeliminazione rappresenta un’evoluzione significativa nelle tecniche di evasione.
Una variante di Speagle cerca documenti su missili balistici cinesi
Un elemento particolarmente rilevante riguarda una variante del malware che esegue ricerche mirate all’interno dei file. Speagle analizza i contenuti alla ricerca di parole chiave legate a tecnologie militari, inclusi termini come missile balistico, ipersonico e Dongfeng. Il riferimento specifico al missile Dongfeng-27 indica un interesse diretto per programmi militari avanzati. Il malware individua documenti contenenti queste parole chiave e li include nel processo di esfiltrazione. Questo comportamento rafforza l’ipotesi che l’operazione sia legata a attività di intelligence piuttosto che a semplice cybercrime. Il targeting dei contenuti suggerisce obiettivi strategici ben definiti.
Cobra DocGuard al centro di precedenti attacchi supply chain
Il contesto in cui emerge Speagle non è isolato. Cobra DocGuard è già stato coinvolto in precedenti compromissioni della supply chain, in particolare tra il 2022 e il 2023. In alcuni casi, attaccanti hanno distribuito backdoor attraverso aggiornamenti software compromessi. Un incidente significativo ha colpito un’azienda di gambling a Hong Kong, dimostrando la vulnerabilità della catena di distribuzione. Questi precedenti rendono plausibile che anche Speagle sfrutti un accesso simile all’infrastruttura del software. La fiducia degli utenti in strumenti di sicurezza rappresenta un vettore particolarmente efficace per attacchi avanzati. Compromettere un software progettato per proteggere i dati consente agli attaccanti di operare con maggiore invisibilità e impatto.
Speagle segna un’evoluzione nelle minacce di cyber spionaggio
Il caso Speagle evidenzia una tendenza crescente verso malware altamente specializzati e mirati. L’integrazione con software legittimo, l’uso di infrastrutture compromesse e il targeting selettivo indicano un livello di sofisticazione superiore rispetto agli infostealer tradizionali. Speagle rappresenta un nuovo modello di infostealer orientato allo spionaggio, in cui la raccolta dati è guidata da obiettivi specifici e non da logiche opportunistiche. Questo approccio aumenta l’efficacia delle operazioni e riduce la probabilità di rilevamento. Nel contesto attuale della cybersecurity, questo tipo di minaccia richiede strategie difensive avanzate, basate non solo su rilevamento tecnico ma anche su analisi comportamentale e controllo della supply chain. La sicurezza del software diventa così un elemento centrale nella protezione delle infrastrutture digitali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
