165 siti trappola clonano i progetti open source e scatenano l’invisibile DeskCVB RAT

Una doppia operazione malevola colpisce contemporaneamente due punti fragili dell’ecosistema digitale: la fiducia nei progetti open source e la sicurezza degli endpoint aziendali Windows. Da una parte una campagna globale costruisce 165 siti fraudolenti che impersonano strumenti popolari, repository reali e utility molto usate dagli sviluppatori, sfruttando il posizionamento nei motori di ricerca per intercettare utenti alla ricerca di software legittimo. Dall’altra una catena di malspam distribuisce DeskCVB RAT attraverso allegati HTML, redirect su domini ad alta reputazione, script JavaScript, dropper PowerShell, loader .NET e tecniche di esecuzione in memoria. Le due operazioni non appaiono identiche per obiettivo immediato, ma condividono lo stesso principio operativo: usare infrastrutture economiche, scalabili e apparentemente legittime per abbassare la soglia di rilevamento e aumentare l’impatto. La prima minaccia mette sotto pressione la supply chain software, perché un utente può scaricare pacchetti da domini che imitano progetti reali; la seconda punta al controllo remoto persistente, alla sorveglianza e alla profilazione della macchina compromessa. In entrambi i casi, l’attaccante non cerca soltanto una vulnerabilità tecnica. Cerca di sfruttare abitudini consolidate: fidarsi di Google Search, fidarsi di un dominio che sembra ufficiale, fidarsi di un allegato ordine, fidarsi di un redirect proveniente da un dominio noto come DoubleClick.

La campagna hijacka l’identità dei progetti open source

L’indagine sulla prima operazione parte il 25 settembre 2025 dal rilevamento di un dominio che impersona gRPCurl, progetto open source utilizzato per interagire con servizi gRPC. Il sito fraudolento ospita una copia quasi perfetta della branch principale del repository reale, popola le pagine con contenuti copiati dal progetto legittimo e offre un archivio ZIP che, al momento dell’analisi, presenta hash coerenti con i file originali e non contiene payload malevoli evidenti.

Questo dettaglio non riduce la gravità della campagna, ma la rende più subdola: gli attaccanti costruiscono fiducia prima di introdurre eventuali modifiche future. Il dominio risulta registrato il 18 giugno 2025 e riesce rapidamente a posizionarsi come secondo risultato su Google, trasformando la ricerca organica in un vettore di esposizione. Gli investigatori individuano anche pagine di shopping in giapponese indicizzate ma non accessibili direttamente, segnale di una possibile infrastruttura condivisa per attività multiple, dal phishing alla rivendita di prodotti contraffatti. La tecnica è semplice e pericolosa: creare un clone credibile, popolarlo con contenuti reali, sfruttare SEO malevola e attendere che sviluppatori o utenti atterrino sul sito sbagliato.

165 domini fraudolenti mostrano un’infrastruttura riutilizzabile

L’operazione non riguarda un singolo progetto, ma una rete di 165 siti web unici collegati da indicatori comuni come otto indirizzi email, undici numeri di telefono tra Regno Unito e Pakistan, un account WhatsApp e tre account Telegram. Questa correlazione suggerisce un’infrastruttura organizzata e riutilizzabile, progettata per replicare rapidamente siti falsi, popolare contenuti e colpire più ecosistemi contemporaneamente. La maggior parte dei domini utilizza WordPress, scelta che riduce i costi di gestione e permette di produrre pagine credibili con template generici e contenuti semi-automatici. I ricercatori classificano le impersonificazioni in più categorie: 67 siti imitano progetti open source, 46 riguardano software gratuiti, 28 strumenti online e 23 blog. Su 165 domini, 118 mostrano una corrispondenza chiara con progetti o strumenti reali, mentre gli altri appaiono più generici o orientati a contenuti commerciali. Questo schema dimostra che gli attaccanti non puntano soltanto a un singolo software popolare, ma costruiscono una rete di presenze false capace di intercettare query diverse e utenti con profili tecnici eterogenei.

Ghidra, DeepSeek e geckodriver finiscono nel mirino

Gli esempi individuati chiariscono la portata dell’operazione. Il dominio ghidralite.com imita Ghidra, lo strumento di reverse engineering della National Security Agency con oltre 61.000 stelle su GitHub. Il sito deepseekweb.io copia contenuti legati a DeepSeek AI, progetto noto per modelli fondazionali e repository con decine di migliaia di stelle. Il dominio geckodriver.org si spaccia per il driver usato nell’automazione dei browser Gecko di Mozilla, un componente sensibile perché spesso scaricato da sviluppatori, tester e team QA. Progetti come minimap2 e Czkawka ricevono segnalazioni dirette dai maintainer su GitHub, con avvisi inseriti nei README o in issue dedicate per mettere in guardia gli utenti dalla presenza di domini fraudolenti. Anche community tecniche su Reddit e forum specializzati segnalano pattern simili. Il problema è che l’utente medio, anche quando tecnicamente competente, può confondere un dominio ben indicizzato con il sito ufficiale, soprattutto se i contenuti risultano copiati con precisione dal repository reale. In una supply chain già esposta a typosquatting, dependency confusion e pacchetti malevoli, l’hijacking dell’identità web dei progetti open source diventa un ulteriore livello di rischio.

La supply chain open source viene colpita attraverso la fiducia

La forza della campagna sta nella capacità di sfruttare la fiducia accumulata dall’ecosistema open source. Gli utenti cercano strumenti noti, trovano domini apparentemente coerenti e scaricano archivi che, almeno nella fase iniziale, possono risultare identici agli originali. Questo comportamento riduce le difese psicologiche e tecniche, perché non tutti verificano l’URL ufficiale, le firme, gli hash pubblicati dai maintainer o la provenienza del pacchetto. L’assenza di payload malevoli immediati nei mirror analizzati non esclude una successiva weaponization. Gli attaccanti possono mantenere siti puliti per settimane, migliorare il posizionamento SEO, raccogliere traffico organico e introdurre solo in un secondo momento archivi manipolati, installer alterati, form di raccolta credenziali o redirect verso kit di phishing. L’uso di Cloudflare come proxy complica l’identificazione dell’hosting reale e rallenta le attività di takedown. Il rischio più rilevante non è soltanto il download di un file infetto, ma la normalizzazione di domini falsi che sembrano ufficiali e che possono essere attivati malevolmente quando hanno già ottenuto visibilità.

DeskCVB RAT arriva tramite una catena malspam ottimizzata

La seconda operazione riguarda DeskCVB RAT, distribuito attraverso una catena di malspam emersa a febbraio 2026 e ancora attiva a maggio 2026. L’accesso iniziale avviene con un allegato HTML chiamato Bestellung_2026.html, dove “Bestellung” significa ordine in tedesco, elemento pensato per aumentare credibilità in contesti aziendali e commerciali. Il file contiene un meta-refresh a zero secondi che reindirizza verso ad.doubleclick.net, dominio di Google con reputazione elevata. Questo passaggio è strategico perché molti gateway email e filtri di sicurezza tendono a non bloccare link associati a domini legittimi e ampiamente usati nella pubblicità online. Il redirect conduce poi a un dominio intermedio che decodifica l’indirizzo email della vittima codificato in base64 e lo passa come fragment URL al kit malspam. L’intera catena è progettata per scalare automaticamente senza personalizzazione manuale: ogni vittima riceve una pagina dinamica, apparentemente coerente con il proprio indirizzo, con branding ricostruito al volo e un falso invito a scaricare un PDF.

Il kit malspam costruisce pagine dinamiche e consegna ZIP malevoli

Il kit di DeskCVB RAT, ospitato su domini come bth.startthewave.org, legge l’indirizzo email della vittima dal fragment URL e genera una pagina personalizzata con elementi grafici dinamici. Il pulsante che promette il download di un PDF attiva in realtà una richiesta POST verso un altro server, che risponde con un archivio ZIP contenente lo stage successivo. Questa architettura riduce la necessità di creare esche diverse per ogni target e permette agli operatori di mantenere un livello elevato di credibilità con costi ridotti. L’abuso di DoubleClick, la codifica base64, i redirect intermedi e la costruzione dinamica della pagina servono a rendere più difficile l’analisi statica dell’email e a superare controlli basati su URL, reputazione dominio o contenuto visibile.

L’utente vede un flusso apparentemente normale: allegato ordine, apertura browser, pagina personalizzata, download documento. In realtà sta attraversando una pipeline multi-stage che prepara l’esecuzione del malware senza esporre immediatamente il payload principale.

La catena esegue codice in memoria con WScript, PowerShell e .NET

Dopo il download dello ZIP, l’infezione prosegue con una catena pensata per ridurre le tracce su disco e massimizzare l’evasione. Un file JavaScript viene eseguito tramite WScript.exe e avvia uno script PowerShell pesantemente offuscato. Il dropper PowerShell carica un loader .NET, che a sua volta usa reflection per assemblare il RAT finale direttamente in RAM. Questa scelta permette di evitare il rilascio di un binario evidente sul filesystem e complica il lavoro degli antivirus basati su firme tradizionali. Il loader include anche controlli anti-sandbox: se rileva ambienti di analisi o tool sospetti, forza il riavvio della macchina per interrompere il triage e ostacolare la raccolta di indicatori. L’esecuzione in memoria, il ricorso a componenti legittimi di Windows e l’offuscamento multi-layer rendono DeskCVB RAT una minaccia adatta ad ambienti aziendali dove gli endpoint dispongono di protezioni standard ma non sempre di controlli comportamentali avanzati.

DeskCVB RAT disabilita AMSI ed ETW prima della persistenza

Una volta attivo, DeskCVB RAT esegue azioni mirate per indebolire la telemetria del sistema. Il malware patcha AMSI ed ETW a livello di API native, riducendo la capacità di Windows di ispezionare script e registrare eventi rilevanti. Questo intervento avviene prima ancora di stabilire persistenza, confermando che gli operatori puntano a rendere invisibile l’infezione nelle fasi iniziali. Invece di droppare binari non firmati, il RAT inietta codice in processi legittimi firmati Microsoft, come InstallUtil.exe e MSBuild.exe, sfruttando binari noti e fidati per mascherare l’attività malevola. Il malware enumera inoltre prodotti antivirus tramite WMI e controlla la presenza di GPU NVIDIA o AMD attraverso query di registro e WMI. La raccolta di queste informazioni serve a profilare la macchina, distinguere ambienti reali da macchine virtuali e valutare possibili attività successive, incluse campagne di crypto-mining, masquerading o monetizzazione dell’accesso. L’interesse per le GPU indica che l’infezione non è pensata solo per sorveglianza, ma anche per valutare il valore computazionale dell’endpoint compromesso.

DDNS, porte non standard e processi Microsoft rendono difficile il blocco

La comunicazione di DeskCVB RAT avviene tramite domini DDNS e porte non standard, una scelta che rende l’infrastruttura economica, elastica e rapidamente sostituibile. Bloccare un singolo IP non basta perché gli operatori possono ruotare endpoint in pochi minuti, mantenendo vivo il canale di comando e controllo. L’uso di processi firmati Microsoft, l’esecuzione in memoria tramite reflection .NET, il patching di AMSI ed ETW e la catena di delivery basata su domini legittimi creano una combinazione difficile da intercettare con controlli superficiali. L’infezione non si presenta come un malware rumoroso, ma come una sequenza di comportamenti apparentemente compatibili con attività amministrative o runtime standard. Per i team di sicurezza, questo impone un cambio di approccio: non basta analizzare allegati e bloccare estensioni sospette, ma occorre monitorare l’esecuzione di WScript.exe, PowerShell, InstallUtil.exe, MSBuild.exe, connessioni verso DDNS e anomalie nelle patch API di telemetria. La catena dimostra come il malspam moderno sia ormai una piattaforma di delivery dinamica e non un semplice allegato infetto.

Le due campagne mostrano la stessa logica di evasion scalabile

La campagna dei 165 siti falsi e la catena DeskCVB RAT operano su livelli differenti, ma condividono una logica comune di evasion scalabile. La prima sfrutta SEO, WordPress, contenuti copiati da repository reali, domini credibili e proxy Cloudflare per imitare l’ecosistema open source. La seconda abusa di DoubleClick, redirect, pagine dinamiche, WScript, PowerShell, .NET reflection, AMSI bypass, ETW patching e processi firmati Microsoft per infettare endpoint aziendali. In entrambi i casi gli attaccanti evitano tattiche costose e preferiscono infrastrutture facilmente replicabili. Il vantaggio è evidente: un singolo schema può generare decine di siti fraudolenti o migliaia di email personalizzate, mantenendo al tempo stesso un profilo basso. La supply chain viene colpita prima ancora dell’installazione del software, mentre l’endpoint viene compromesso prima ancora che l’utente comprenda il reale contenuto dell’allegato. Questa convergenza tra impersonificazione, abuso di fiducia e stealth tecnico rappresenta uno dei segnali più preoccupanti per aziende, sviluppatori e maintainer.

Difendere open source ed endpoint richiede controlli più profondi

Le contromisure devono agire su entrambi i fronti. I maintainer di progetti open source devono monitorare domini simili ai nomi ufficiali, pubblicare avvisi nei README, segnalare domini fraudolenti ai registrar, promuovere firme, checksum e canali di download verificati. Gli utenti devono evitare di scaricare tool da domini trovati casualmente nei risultati di ricerca e confrontare sempre URL, repository ufficiali, release GitHub e hash pubblicati. Le aziende devono invece rafforzare l’ispezione degli allegati HTML, limitare l’esecuzione di script da email, applicare policy restrittive su WScript.exe e PowerShell, monitorare child process anomali, bloccare connessioni verso DDNS sospetti e rilevare tentativi di disabilitazione di AMSI ed ETW. La combinazione tra siti falsi e RAT in memoria dimostra che il rischio moderno non arriva più solo dal malware evidente, ma da infrastrutture che imitano la normalità. La difesa deve quindi riconoscere deviazioni sottili nei flussi di fiducia: un dominio open source troppo simile all’originale, un allegato ordine che passa da DoubleClick, un processo Microsoft che stabilisce connessioni anomale, una macchina che riavvia improvvisamente durante l’analisi. In questo scenario, la sicurezza non può limitarsi a bloccare payload noti, ma deve proteggere l’intero percorso che porta l’utente dalla ricerca del software all’esecuzione del codice.