Operazione XENOFISCAL, SideCopy usa XenoRAT contro il Ministero delle Finanze afghano

SideCopy lancia l’Operazione XENOFISCAL contro il Ministero delle Finanze dell’Afghanistan e distribuisce una variante persistente di XenoRAT 1.8.7 in una campagna di spionaggio mirata contro funzionari finanziari provinciali, capi delle entrate, ufficiali amministrativi e segretari delle 34 province afghane. L’attacco, analizzato da Seqrite Labs, viene attribuito con confidenza medio-alta al gruppo APT pakistano collegato a Transparent Tribe e APT36, sulla base di TTP osservate dal 2019, dell’uso ricorrente della catena LNK-mshta, della persistenza su registro con nomi ingannevoli, dell’infrastruttura già associata al cluster e dell’adozione di XenoRAT personalizzato già documentata a dicembre 2024. Il vettore iniziale sfrutta un archivio ZIP consegnato tramite spear-phishing, contenente un file LNK con nome in pashto costruito per apparire come una lista di dipendenti invitati a un seminario su guerra intellettuale e psicologica. La scelta linguistica e tematica indica una preparazione accurata, perché il lure parla direttamente al contesto amministrativo afghano e agli interlocutori del MoF Afghanistan. Una volta eseguito, il collegamento avvia mshta.exe, scarica un payload HTA remoto da un dominio governativo afghano compromesso e avvia una catena fileless che porta al caricamento in memoria di XenoRAT 1.8.7. Il malware garantisce accesso remoto persistente, keylogging, cattura schermo, accesso a webcam, uso del microfono, gestione file, esecuzione comandi e capacità proxy, consentendo agli operatori di raccogliere intelligence finanziaria sensibile senza lasciare artefatti evidenti sul disco.

Attribuzione a SideCopy e continuità con Transparent Tribe

L’attribuzione dell’Operazione XENOFISCAL a SideCopy si fonda su un insieme coerente di elementi tecnici e operativi che collegano la campagna alla costellazione di attività riconducibili a Transparent Tribe e APT36. Seqrite Labs evidenzia la continuità delle tecniche utilizzate dal gruppo dal 2019, con particolare attenzione all’abuso di file LNK, all’esecuzione tramite mshta.exe, alla persistenza nel registro di Windows con nomi typo-squatting e alla riutilizzazione di infrastrutture compatibili con campagne precedenti. L’uso di XenoRAT 1.8.7, RAT open source disponibile su GitHub e personalizzato per finalità operative, conferma l’evoluzione del gruppo verso strumenti flessibili, economici e facilmente modificabili, capaci di offrire funzioni avanzate di sorveglianza e post-exploitation.

Il targeting rafforza ulteriormente l’attribuzione: SideCopy concentra l’attacco su funzionari del Ministero delle Finanze afghano, in particolare sui mustoufiats provinciali, cioè strutture locali che gestiscono entrate, bilanci e flussi amministrativi. La precisione del lure in pashto, il riferimento a un seminario su guerra intellettuale e psicologica e la presenza di un documento decoy con dettagli organizzativi sulle 34 province indicano una fase di intelligence gathering preliminare. Il gruppo non invia un’esca generica, ma costruisce un artefatto credibile per un pubblico istituzionale specifico. Questa cura operativa suggerisce un obiettivo di lungo periodo: ottenere accesso persistente a dati fiscali, informazioni di bilancio, contatti amministrativi e comunicazioni interne di valore strategico.

Il vettore iniziale sfrutta un archivio ZIP e un LNK in pashto

La catena di compromissione inizia con un archivio ZIP inviato attraverso spear-phishing a destinatari selezionati all’interno dell’apparato finanziario afghano. All’interno del pacchetto è presente un file LNK con nome in pashto, traducibile come “List of Employees Who Were Introduced to the Intellectual and Psychological Warfare Seminar”. Il nome dell’esca è costruito per sfruttare il contesto istituzionale e psicologico delle vittime: un funzionario del Ministero delle Finanze potrebbe interpretare il file come un documento amministrativo interno, soprattutto se ricevuto da una fonte apparentemente affidabile o veicolato attraverso un dominio locale.

Quando il collegamento viene aperto, il sistema avvia mshta.exe, un LOLBIN di Windows spesso abusato dagli attaccanti perché consente l’esecuzione di contenuti HTA e script remoti con un profilo meno rumoroso rispetto a eseguibili sconosciuti. Il payload viene scaricato dal dominio abimj.edu.af, un sito istituzionale afghano compromesso, registrato sotto AS58469 del Ministero afghano delle Comunicazioni. L’uso di un dominio governativo locale aumenta la credibilità dell’operazione e riduce la probabilità che il traffico venga bloccato da controlli superficiali basati su reputazione geografica o categorie generiche. Questa scelta riflette una strategia già matura: separare l’apparenza legittima del delivery dall’infrastruttura reale di comando e controllo, riducendo il sospetto nella fase iniziale e aumentando la probabilità che il malware raggiunga l’esecuzione sul sistema bersaglio.

La catena fileless usa HTA, .NET e deserializzazione in memoria

Dopo l’esecuzione del file LNK, il payload HTA iniziale attiva una sequenza fileless costruita per ridurre gli artefatti su disco e ostacolare il rilevamento da parte degli strumenti di sicurezza tradizionali. Il codice usa JavaScript offuscato con array esadecimali e routine personalizzate di decodifica Base64, quindi procede alla deserializzazione di un oggetto .NET direttamente in memoria attraverso BinaryFormatter. La catena sfrutta gadget WPF e XAML per arrivare all’esecuzione del codice senza passare da un normale eseguibile salvato in modo stabile sul filesystem. Il primo loader DLL .NET scarica un documento PDF decoy da abimj.edu.af/institute/cloudiyaf/document.pdf, mostrando alla vittima un contenuto apparentemente coerente con l’esca iniziale. Il documento contiene dettagli organizzativi sulle 34 province afghane e numeri di telefono mobili, elemento che conferma l’esistenza di un lavoro preparatorio sui bersagli e sulla struttura amministrativa del Ministero. Il loader crea poi una directory in C:\Users\Public\ con nome USOShared-1de48789-1285, una denominazione pensata per apparire compatibile con componenti legittimi o poco rilevanti del sistema, e configura la persistenza nel registro. Successivamente scarica un secondo payload HTA e trasferisce il controllo al loader di stage-2. Questa sequenza dimostra una chiara volontà di combinare ingegneria sociale localizzata, uso di binari legittimi Windows, esecuzione in memoria e mimetizzazione su percorsi pubblici per massimizzare furtività e persistenza.

Lo stage-2 carica XenoRAT 1.8.7 interamente in memoria

Il secondo loader DLL funziona come shellcode loader e rappresenta il passaggio decisivo verso l’attivazione di XenoRAT 1.8.7. Il codice crea directory nascoste, scarica il payload finale da URL collegati al dominio compromesso, tra cui hxxps://abimj.edu.af/institute/10/, e decodifica i dati tramite Base64 e GZIP direttamente in memoria. Una volta ricostruito il payload, il loader alloca memoria con permessi RWX tramite VirtualAlloc, copia lo shellcode e lo esegue attraverso CreateThread. Lo shellcode procede quindi al caricamento riflessivo del RAT usando Assembly.Load, evitando la scrittura del componente finale su disco. Prima dell’avvio completo, il malware applica un bypass AMSI attraverso una patch su AmsiScanBuffer, riducendo la probabilità che i contenuti malevoli vengano intercettati dai meccanismi di scansione integrati in Windows. XenoRAT 1.8.7 si avvia così completamente in memoria e stabilisce una connessione TCP cifrata con AES, accompagnata da compressione RTL per ridurre il volume del traffico e migliorare l’efficienza della comunicazione. Il mutex clouda impedisce esecuzioni multiple dello stesso payload sul sistema compromesso e rappresenta uno degli indicatori utili per la detection. La scelta di un caricamento fileless, insieme al bypass AMSI e all’uso di shellcode riflessivo, colloca la campagna su un livello tecnico superiore rispetto a operazioni phishing più semplici basate su dropper eseguibili tradizionali.

Persistenza multipla tra registro e task pianificati

La campagna non si limita a ottenere esecuzione iniziale, ma configura più meccanismi di persistenza per garantire il ritorno del malware dopo il riavvio o dopo tentativi incompleti di rimozione. Il primo loader imposta una chiave nel registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run con valore Edgre, nome che richiama in modo ingannevole componenti Microsoft legittimi e sfrutta una forma di typosquatting visivo rispetto a Edge. Il valore esegue un comando capace di rilanciare il secondo HTA, ripristinando la catena malevola anche dopo logout o riavvio. Gli attaccanti creano inoltre un task pianificato Windows chiamato XenoUpdateManager, configurato per avviarsi al login con privilegi amministrativi. La denominazione simula un componente di aggiornamento e riduce il sospetto in controlli manuali superficiali. XenoRAT include anche funzioni come RemoveStartup, utili a rimuovere voci concorrenti o a gestire in modo aggressivo la propria presenza sul sistema. La combinazione di registry run key e task pianificato rende la bonifica più complessa, perché la rimozione di un singolo artefatto potrebbe non interrompere l’intera catena di riattivazione. Per i team di sicurezza, gli indicatori più rilevanti includono la chiave Edgre, il task XenoUpdateManager, la directory USOShared-1de48789-1285, il mutex clouda e la presenza di payload HTA o loader DLL associati alla catena. L’approccio conferma la volontà di SideCopy di mantenere accesso a lungo termine ai sistemi del Ministero delle Finanze, non soltanto di eseguire una raccolta dati una tantum.

XenoRAT offre sorveglianza completa su sistemi governativi

Una volta stabilita la connessione con il server di comando, XenoRAT 1.8.7 fornisce agli operatori un set completo di capacità di sorveglianza e controllo remoto. Il RAT supporta keylogging, cattura dello schermo, accesso a webcam, attivazione del microfono, gestione del filesystem, esecuzione di comandi, raccolta di informazioni di sistema e configurazione di un proxy SOCKS5. In un ambiente come quello del Ministero delle Finanze afghano, queste funzioni consentono agli attaccanti di osservare attività amministrative, intercettare credenziali digitate, acquisire documenti fiscali, monitorare comunicazioni interne e mantenere una presenza silenziosa sui dispositivi dei funzionari. Il modello di comunicazione include handshake autenticato, cifratura AES e compressione, riducendo l’esposizione del traffico e rendendo più difficile la ricostruzione delle sessioni da parte di analisti di rete. L’uso di XenoRAT personalizzato mostra come gruppi APT possano trasformare strumenti open source in piattaforme operative efficaci, adattandole a campagne nazionali mirate. Il vantaggio per l’attaccante è duplice: da un lato riduce i costi di sviluppo, dall’altro sfrutta una base funzionale già ricca di moduli e comandi. Per il difensore, invece, il problema è che un RAT open source modificato può generare molte varianti, rendendo più difficile affidarsi esclusivamente a firme statiche. L’analisi comportamentale diventa quindi essenziale, soprattutto quando il malware opera in memoria, usa LOLBIN per il bootstrap e comunica con infrastrutture separate tra delivery e C2.

Infrastruttura separata tra dominio afghano compromesso e C2 bulgaro

L’Operazione XENOFISCAL separa con attenzione l’infrastruttura di delivery dal comando e controllo. Il dominio abimj.edu.af ospita i payload iniziali, i file HTA, il documento PDF decoy e i componenti necessari alle prime fasi dell’infezione. La scelta di un dominio governativo o istituzionale afghano compromesso permette agli attaccanti di sfruttare fiducia locale e coerenza geografica con il lure in pashto. Il C2 vero e proprio risiede invece all’indirizzo 185.235.137.106, collocato su AS59711 di HZ Hosting Ltd in Bulgaria, infrastruttura già documentata in precedenti attività associate a SideCopy. Gli attaccanti utilizzano inoltre cluster di domini .xyz, .live e .online risolti allo stesso IP, aumentando flessibilità e resilienza. Questa separazione rende più difficile interrompere completamente la campagna: il blocco del dominio di delivery può impedire nuove infezioni, ma non necessariamente interrompe le comunicazioni dei sistemi già compromessi con il C2; viceversa, il blocco del server di comando può non eliminare la disponibilità dei payload ancora ospitati sull’infrastruttura locale compromessa. L’architettura riflette una conoscenza operativa matura e una volontà di preservare l’accesso nel tempo. Per le organizzazioni afghane e internazionali, il monitoraggio deve quindi includere tanto il traffico verso abimj.edu.af e percorsi anomali sotto /institute/ quanto connessioni verso 185.235.137.106 e domini collegati. La detection deve inoltre considerare processi come mshta.exe, pattern di download HTA, chiamate a VirtualAlloc, esecuzione di thread da memoria RWX e anomalie nei task pianificati.

Gli IOC di Seqrite aiutano a rilevare e contenere la minaccia

Seqrite Labs ha pubblicato indicatori di compromissione dettagliati per supportare la rilevazione dell’Operazione XENOFISCAL. Gli IOC comprendono gli hash SHA256 dell’archivio ZIP iniziale, del file LNK in pashto, del PDF decoy, dei payload HTA ugayt.hta e zuidrt.hta, dei loader WayBroad.dll e Aotestpass.dll, del batch noway.bat e del payload XenoRAT 1.8.7. I ricercatori raccomandano di bloccare il dominio abimj.edu.af e l’IP C2 185.235.137.106, oltre a controllare i sistemi per la presenza del mutex clouda, del task pianificato XenoUpdateManager, della chiave di registro Edgre e delle directory usate dalla catena di loader. La disponibilità di IOC non sostituisce però una strategia di rilevamento comportamentale. In una campagna fileless, molti artefatti possono cambiare rapidamente o essere rimossi dagli operatori, mentre le tecniche di base restano riconoscibili: avvio di mshta.exe da un file LNK, scaricamento di HTA da dominio remoto, deserializzazione .NET, bypass AMSI, allocazione di memoria RWX, caricamento riflessivo tramite Assembly.Load e persistenza con registro e task pianificati. Le organizzazioni devono quindi integrare IOC statici, query EDR, controllo dei log Windows, monitoraggio DNS, analisi proxy e verifica degli artefatti utente. Per gli ambienti governativi afghani, il rischio è particolarmente elevato perché il lure è costruito su lingua, struttura amministrativa e documentazione interna verosimile. La mitigazione passa da formazione anti-phishing in pashto, blocco dei LOLBIN abusabili dove possibile, controllo dei domini compromessi e limitazione dell’esecuzione di HTA non autorizzati.

Il bersaglio finanziario rivela un obiettivo di intelligence strategica

Il targeting dell’Operazione XENOFISCAL mostra che SideCopy non punta a una compromissione casuale, ma a una raccolta mirata di intelligence finanziaria e amministrativa. I destinatari includono direttori finanziari provinciali, capi delle entrate, ufficiali finanziari e segretari collegati alle strutture del Ministero delle Finanze in tutte le 34 province afghane. Questi profili hanno accesso a dati su entrate, bilanci, flussi fiscali, comunicazioni interne, contatti istituzionali e procedure amministrative. Il documento decoy, contenente dettagli organizzativi e numeri di telefono mobili, suggerisce che gli attaccanti abbiano mappato la struttura del MoF prima di avviare la campagna. L’uso di un tema legato alla guerra intellettuale e psicologica potrebbe inoltre mirare a sfruttare sensibilità politiche e istituzionali locali, inducendo i destinatari ad aprire il file per ragioni di servizio. Una volta installato, XenoRAT fornisce accesso persistente a sistemi che possono contenere dati fiscali, corrispondenza ufficiale e credenziali di accesso a portali interni. In un contesto geopolitico fragile, l’intelligence finanziaria può assumere valore strategico perché permette di comprendere capacità amministrative, reti di finanziamento, priorità di bilancio e vulnerabilità operative di un apparato statale. La campagna conferma quindi che le APT regionali non colpiscono solo ministeri della difesa o apparati diplomatici, ma anche strutture economiche e fiscali, dove le informazioni raccolte possono alimentare analisi politiche, pressione strategica o operazioni successive.

XENOFISCAL conferma l’evoluzione operativa di SideCopy

L’Operazione XENOFISCAL conferma la continuità operativa di SideCopy e la sua capacità di aggiornare strumenti, infrastrutture e tecniche senza abbandonare TTP ormai consolidate. Dal 2019 il gruppo utilizza catene basate su LNK, mshta, persistenza su registro e infrastrutture hosting ricorrenti, ma l’adozione di XenoRAT 1.8.7 personalizzato segna un’evoluzione verso piattaforme open source adattate a campagne specifiche. La somiglianza tra nomi di directory e mutex, come cloudiyaf e clouda, rafforza l’ipotesi di una continuità tra operatori o cluster interni. La campagna dimostra anche una maggiore maturità nell’evasione: payload fileless, deserializzazione .NET, bypass AMSI, caricamento riflessivo e infrastruttura C2 separata rendono l’attacco più difficile da rilevare e contenere. Per il Ministero delle Finanze afghano e per le organizzazioni collegate, la risposta deve concentrarsi sulla bonifica degli host, sulla revoca di credenziali eventualmente esposte, sul blocco dell’infrastruttura nota e sulla revisione dei controlli contro spear-phishing in lingua locale. Per la comunità di sicurezza, il caso offre un indicatore più ampio: le APT regionali continuano a professionalizzarsi, integrando strumenti pubblici come XenoRAT in catene operative costruite con precisione linguistica, geopolitica e tecnica. SideCopy non cerca solo accesso iniziale, ma persistenza, sorveglianza e raccolta silenziosa di informazioni sensibili. In questo senso, XENOFISCAL non è un semplice episodio di malware governativo, ma un’operazione di intelligence cibernetica mirata contro il cuore amministrativo e fiscale dell’Afghanistan.