Sicurezza Informatica

ResolverRAT, minaccia invisibile che sfrutta loader .NET e phishing localizzato in Italia

da Livio Varriale
scritto da Livio Varriale 0 commenti 4 minuti leggi
Resolverrat

Una nuova minaccia malware estremamente sofisticata, identificata come ResolverRAT, viene rilevata da Morphisec in una campagna attiva a partire da marzo 2025, diretta contro organizzazioni del settore sanitario e farmaceutico. Il trojan di accesso remoto sfrutta tecniche evolute di caricamento in memoria, crittografia avanzata e ingegneria sociale localizzata per sfuggire ai controlli di sicurezza e mantenere il controllo completo dei sistemi infetti.

Una campagna di phishing strutturata per target locali e a tema legale

Il primo livello dell’attacco prevede l’invio di email appositamente confezionate con contenuti contestuali e tradotti nella lingua del destinatario. Il tema ricorrente è la presunta violazione di copyright, utilizzato per instillare urgenza e legittimità. Ogni messaggio è associato a un allegato o a un link malevolo che attiva il malware.

Gli esempi rilevati da Morphisec rivelano la presenza di email in hindi, italiano, turco, portoghese, indonesiano e ceco, con oggetti che simulano notifiche legali o giudiziarie. Questo approccio conferma una volontà di colpire organizzazioni internazionali con attori capaci di adattare la campagna a ogni contesto nazionale.

DLL sideloading per l’avvio della catena di infezione

La tecnica principale utilizzata per l’esecuzione iniziale è il DLL sideloading, che sfrutta eseguibili legittimi per caricare librerie malevole. In questo caso, l’eseguibile “hpreader.exe”, incluso in un archivio ZIP, carica una DLL dannosa presente nella stessa cartella. Il sideloading consente al malware di aggirare i controlli antivirus basati su firma ed eseguire codice dannoso con privilegi elevati.

Annunci

Una volta caricato, il malware non scrive alcun file sul disco. Il payload viene decompresso e decrittato direttamente in memoria, aggirando di fatto qualsiasi forma di analisi statica.

Crittografia avanzata e caricamento in memoria per evitare il rilevamento

Il cuore della capacità evasiva di ResolverRAT risiede nel suo loader in memoria, che gestisce un payload cifrato con algoritmo AES-256 in modalità CBC, compressione GZip e offuscamento delle stringhe. Le chiavi di cifratura non sono direttamente leggibili: vengono derivate al momento dell’esecuzione tramite trasformazioni aritmetiche, rendendo difficile ogni tentativo di reverse engineering.

Il malware sfrutta la piattaforma .NET per effettuare operazioni come la gestione delle risorse crittografate e l’invocazione del payload tramite eventi runtime come ResourceResolve. L’integrazione profonda con .NET rende difficile distinguere il comportamento malevolo da un’esecuzione legittima.

Controllo avanzato tramite macchina a stati obfuscata

Una delle componenti più sofisticate di ResolverRAT è la macchina a stati interna, composta da numerose transizioni, condizionali e loop ridondanti. Questo sistema gestisce l’intero flusso operativo del malware, permettendo operazioni complesse con un codice estremamente frammentato e confuso, ideato per ostacolare gli strumenti di disassemblaggio.

La macchina a stati integra:

  • Salti condizionali ambientali in base al sistema operativo o al contesto di esecuzione
  • Iniezioni di codice morto che simulano istruzioni inutili per sviare l’analisi
  • Hash dinamici delle funzioni API, per evitare il rilevamento tramite firme note

Persistenza ridondata tramite registro e fallback

Per mantenere il controllo sulla macchina infetta, ResolverRAT imposta voci di registro per garantire la persistenza, ma include anche sistemi di backup per ripristinarsi dopo una rimozione parziale. La classe interna ExecutorState conserva i parametri di esecuzione e ripristina le componenti essenziali alla riaccensione del sistema.

L’infrastruttura del malware è progettata per sopravvivere a reboot, scansioni antivirus e riparazioni automatiche, mostrando una consapevolezza tecnica elevata da parte degli autori.

Un controller per esfiltrazione e movimento laterale nella rete

Il controller di comando incluso nella campagna permette all’attaccante di prendere il pieno controllo della macchina, eseguire comandi remoti, aprire shell inverse e riconfigurare i protocolli di comunicazione.

La connessione con il malware attivo avviene solo dopo l’inserimento corretto di una password hashata con algoritmo MD5 e salt personalizzato, garantendo l’accesso solo all’operatore legittimo del malware. A quel punto, l’attaccante può:

  • Configurare porte e protocolli (TCP, UDP, ICMP)
  • Eseguire reverse shell su porte custom
  • Identificare e verificare la presenza del malware attivo

Target settoriali e cronologia dell’attacco a marzo 2025

Le infezioni confermate si concentrano nel settore sanitario e farmaceutico, con segnalazioni di compromissione risalenti al 10 marzo 2025. Tutte le varianti osservate presentano caratteristiche comuni, quali lo stesso nome dell’eseguibile di attivazione, struttura ZIP coerente e localizzazione linguistica mirata.

Questa coerenza operativa lascia ipotizzare l’uso di una piattaforma comune, forse condivisa tra gruppi APT o fornita tramite ambienti di malware-as-a-service. La finalità sembra orientata verso il furto di proprietà intellettuale, dati clinici e credenziali aziendali sensibili.

ResolverRAT e il nuovo paradigma delle minacce in memoria: attacchi silenziosi e duraturi

Con ResolverRAT si consolida un paradigma di minacce che evadono completamente il rilevamento tradizionale, sfruttando loader legittimi, cifratura avanzata e architetture .NET complesse. Le tecniche utilizzate impediscono ogni analisi statica, mentre la totale esecuzione in memoria elimina la necessità di dropper su disco, punto debole di molte famiglie malware precedenti.

Il targeting preciso verso la sanità e la distribuzione geograficamente localizzata dimostrano che si tratta non solo di un malware ad alta tecnologia, ma anche di una minaccia su misura per obiettivi di alto valore.

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

RHC Conference 2025: Roma ospita l’hub italiano della...

Guerra cibernetica, sabotaggio strategico e cyberspionaggio nei teatri...

Attacchi mirati, falle critiche e compromissioni software nell’ecosistema...

StealC evolve con la versione 2

FBI chiede informazioni su Salt Typhoon e aiuto

Russia, Corea del Sud, Francia e Olanda sotto...

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara