Sommario
Nel febbraio 2025, il gruppo di spionaggio informatico Shuckworm, legato al Servizio Federale per la Sicurezza della Federazione Russa (FSB), ha lanciato una nuova campagna malevola contro una missione militare straniera di stanza in Ucraina. L’operazione, confermata anche dalle autorità locali e internazionali di cybersecurity, rivela un avanzamento nell’arsenale operativo del gruppo: l’introduzione di una versione aggiornata dello stealer GammaSteel, strumento in grado di esfiltrare informazioni sensibili da reti bersaglio tramite tecniche di obfuscation, fileless persistence e uso creativo di servizi web legittimi.
Il vettore d’infezione iniziale riscontrato è un drive USB infetto, contenente un collegamento .lnk mascherato all’interno di un archivio denominato “D:\files.lnk”. Una volta eseguito, il file attiva una catena di esecuzione composta da mshta.exe, VBScript altamente offuscati e comandi PowerShell, progettati per bypassare i sistemi di protezione locali e stabilire un canale di comunicazione cifrato con i server C&C.
Struttura multistadio dell’attacco: registri di sistema e persistence fileless
L’infezione ha inizio con la scrittura di una chiave nel registro UserAssist, solitamente utilizzata da Windows per tracciare le attività recenti dell’utente. Questo approccio consente al malware di mimetizzarsi all’interno delle normali dinamiche di utilizzo del sistema. Successivamente, viene attivato mshta.exe con un codice JavaScript in grado di lanciare esecuzioni parallele di comandi shell, creando e attivando file nascosti.
I due file principali della catena, NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms e NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms, svolgono ruoli distinti ma complementari. Il primo stabilisce il contatto con i server di comando e controllo (C&C), mentre il secondo altera i parametri del registro di sistema per nascondere i file di sistema e infettare unità rimovibili.
Il canale di controllo sfrutta una combinazione di servizi Tor, cURL, e indirizzi registrati su trycloudflare.com, un pattern già osservato in campagne precedenti attribuite a Shuckworm. L’infrastruttura C&C risulta distribuita e ridondante, con endpoint identificati in indirizzi IP e sottodomini dinamici, difficili da tracciare e spegnere in modo definitivo.
Esecuzione modulare: PowerShell, registri cifrati e screenshot furtivi
Nel cuore dell’attacco si trova l’uso massivo di PowerShell, linguaggio scelto per la sua capacità di operare senza lasciare tracce evidenti su disco. Lo script principale, scaricato da uno dei C&C identificati, è progettato per creare uno screenshot della macchina infetta, raccogliere informazioni sul sistema, elencare i processi attivi, le unità disco, il contenuto della cartella Desktop e persino identificare software di sicurezza in esecuzione.
I dati raccolti vengono inviati al C&C attraverso una richiesta HTTP, con header User-Agent modificato per includere username, hostname, e numero di serie del disco. Il codice ricevuto dal server è obfuscato in Base64, decodificato e iniettato tramite Invoke-Expression.
Una peculiarità di questa campagna è la capacità del malware di scrivere frammenti di codice cifrato direttamente nel registro di Windows, dove sono memorizzate funzioni PowerShell modulari. Questo metodo, già noto come registry-stored scripting, impedisce la rilevazione da parte dei sistemi tradizionali di endpoint protection.
Ingegneria sociale e nomi file in lingua ucraina: l’inganno della legittimità operativa
Un altro elemento distintivo della campagna attribuita a Shuckworm riguarda l’uso sistematico di nomi file e metadati in lingua ucraina, una scelta finalizzata a ingannare il personale militare locale o i partner stranieri in missione sul territorio. Tra i documenti trappola individuati figurano denominazioni come БОЙОВЕ РОЗПОРЯДЖЕННЯ ППО (“Ordine di combattimento della difesa aerea”), Рапорт поранення (“Rapporto ferita”) o Інформація щодо загиблих (“Informazioni sui deceduti”).
Questi file, apparentemente benigni, si presentano con estensioni credibili – .doc, .pdf, .xls – ma agiscono come esche per eseguire codice malevolo. In alcuni casi, vengono sfruttate vulnerabilità nei visualizzatori di documenti o manipolazioni di shortcut .lnk per attivare la catena di infezione al momento dell’apertura.
L’integrazione del linguaggio locale e dei formati militari standard in Ucraina sottolinea la profonda conoscenza operativa del gruppo Shuckworm rispetto alla cultura e alla struttura delle forze armate ucraine, rafforzando l’ipotesi di una stretta connessione tra il gruppo e apparati statali russi.
GammaSteel: il ritorno dello stealer adattivo
La variante aggiornata del malware GammaSteel, usata nella campagna, mostra una sintesi tra tradizione e innovazione. Sul piano operativo, si tratta di uno stealer modulare che analizza cartelle strategiche – Desktop, Documenti, Download – ed esfiltra selettivamente documenti con estensioni sensibili, come .docx, .pptx, .pdf, .odt, .vsdx. Questa selettività consente di ridurre il traffico anomalo in uscita e minimizzare le probabilità di rilevamento.
Il malware ignora esplicitamente directory associate al sistema operativo o ai file temporanei per evitare l’acquisizione di dati inutili. Il processo di esfiltrazione è preceduto dal calcolo del codice hash MD5 tramite certutil.exe, in modo da verificare l’integrità dei file rubati e associarli a ID univoci per il tracciamento interno all’infrastruttura C2.
Strategie di esfiltrazione: fallback multi-layer e offuscamento IP
Quando la trasmissione via PowerShell fallisce, GammaSteel attiva un metodo secondario: utilizza curl.exe con proxy Tor (porta 9050), una configurazione che consente anonimato e offuscamento della geolocalizzazione. I dati vengono inviati tramite richiesta POST multipart verso endpoint HTTPS in maschera, registrati su provider legittimi come Cloudflare.
Tra i domini C&C impiegati figurano stringhe ingannevoli come surfing-programmer-morris-mortality.trycloudflare.com o nav-ni-furnished-handy.trycloudflare.com, associati a IP distribuiti su diverse regioni globali, rendendo complessa l’attribuzione e la disattivazione mirata dei nodi.
In alcuni script, è presente anche l’utilizzo del servizio write.as, normalmente adibito alla pubblicazione anonima di contenuti, per la trasmissione di dati brevi e cifrati in JSON. Questo metodo rappresenta una forma di esfiltrazione mascherata da traffico legittimo, perfettamente integrata nel contesto di un’infrastruttura proxy-resiliente.
GammaSteel e persistence: registrazione nel Run Key e modifiche di sistema
Una volta stabilita la connessione, GammaSteel assicura la propria permanenza nel sistema tramite la scrittura in chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run, garantendo l’esecuzione automatica a ogni avvio dell’utente. A supporto di ciò, viene disabilitata la visualizzazione dei file di sistema e delle estensioni conosciute, manomettendo le seguenti chiavi:
- Explorer\Advanced\Hidden
- Explorer\Advanced\ShowSuperHidden
- Explorer\Advanced\HideFileExt
Questo consente di mascherare la presenza del payload anche all’occhio di un operatore tecnico esperto, riducendo le probabilità di rimozione manuale.
Approfondimento tecnico: struttura modulare e layering comportamentale
L’aspetto più interessante della campagna Shuckworm 2025 è la modularità comportamentale del payload. Ogni componente ha una funzione mirata:
- Stage 1: Esecuzione via
mshta.exe, utilizzo di script offuscati - Stage 2: Attivazione
.drve persistenzaregtrans-ms - Stage 3: Esfiltrazione informazioni tramite
user-agente screenshot - Stage 4: Scrittura nel registro, avvio automatico e C2 dinamico
Il malware è in grado di adattarsi agli ostacoli: se un indirizzo C2 è irraggiungibile, esegue richieste a servizi pubblici come teletype.in, telegra.ph, Telegram (canali pubblici) o check-host.net per ottenere nuovi endpoint da interrogare. Questa resilienza infrastrutturale è uno dei tratti distintivi più sofisticati osservati in questa iterazione.
