Una nuova campagna malware, denominata SERPENTINE CLOUD, sta sfruttando i sottodomini Cloudflare Tunnel per distribuire RAT (Remote Access Trojan) tramite catene di phishing sofisticate. L’attacco inizia con l’invio di email di phishing a tema pagamenti o fatture, contenenti un link a un file zip che include un file di collegamento Windows LNK mascherato da documento. L’obiettivo è ingannare la vittima affinché apra il file, attivando così la sequenza di infezione.

Questo processo multi-step culmina nell’esecuzione di un loader scritto in Python capace di caricare in memoria ulteriori payload, sfruttando loader open source come Donut. La campagna ha preso di mira Stati Uniti, Regno Unito, Germania e altri paesi europei e asiatici. Gli attori dietro questa minaccia sono ancora sconosciuti, ma dimostrano una buona padronanza della lingua inglese.

Caratteristiche della tecnica di infezione

Una caratteristica rilevante di questa attività è il cambio della tecnica di primo accesso: si è passati dall’utilizzo di file shortcut Internet (URL) a file LNK camuffati da PDF. Questi file, tramite Cloudflare Tunnel, recuperano altri stadi dell’infezione via WebDAV. Analisi precedenti hanno collegato campagne simili alla distribuzione di malware come AsyncRAT, GuLoader, PureLogs Stealer, Remcos RAT, Venom RAT e XWorm.

Abuso dell’infrastruttura cloud

La peculiarità sta nell’abuso dell’infrastruttura TryCloudflare, che permette agli attaccanti di nascondersi dietro servizi cloud legittimi, rendendo difficile distinguere il traffico malevolo da quello normale e aggirando così i meccanismi di blocco basati su dominio o URL. Quando il file LNK viene aperto, scarica un file script WSF da un WebDAV remoto su sottodominio Cloudflare Tunnel. Questo script viene eseguito senza destare sospetti nella vittima e funge da loader per un ulteriore file batch, “kiki.bat”, che mostra un PDF di copertura, verifica la presenza di antivirus e scarica/esegue i payload Python che iniettano RAT in memoria.

Tecniche avanzate e osservazioni sui recenti attacchi

I ricercatori hanno notato anche l’uso di tecniche di offuscamento avanzate e la presenza di commenti nel codice che fanno ipotizzare l’utilizzo di modelli linguistici avanzati per la scrittura degli script. La strategia di questi attacchi punta su social engineering, tecniche “living-off-the-land” e l’utilizzo di infrastrutture cloud per garantire persistenza e evasione.

Accanto a questa campagna, sono stati osservati attacchi che sfruttano file SVG nelle email di phishing e la tecnica ClickFix, che induce le vittime a eseguire azioni che portano all’infezione tramite RAT e stealer.