Gli specialisti di sicurezza informatica hanno recentemente scoperto un nuovo malware, sviluppato in linguaggio Go, chiamato XDigo, utilizzato in attacchi mirati contro enti governativi dell'Europa orientale nel marzo 2025. Questo malware si diffonde tramite una catena di attacco multistadio basata sull'uso di file di collegamento di Windows, noti come file LNK. Questi file LNK vengono manipolati per sfruttare una vulnerabilità di esecuzione di codice remoto ancora non corretta in Microsoft Windows, identificata come ZDI-CAN-25373 e resa pubblica da Trend Micro.

La tecnica sfrutta una gestione errata delle stringhe all'interno dei file LNK, dovuta al fatto che Microsoft non applica completamente la propria specifica MS-SHLLINK nella versione 8.0. Mentre la specifica prevede una lunghezza massima teorica di 65535 caratteri, l'implementazione reale in Windows 11 limita il testo a 259 caratteri, tranne per gli argomenti della riga di comando. Questa discrepanza consente agli attaccanti di creare file LNK che appaiono innocui a una prima analisi ma che, in realtà, eseguono comandi nascosti sia all'interno dell'interfaccia Windows sia nei parser di terze parti.

Nove file LNK malevoli e la tecnica del DLL sideloading

Nella campagna analizzata, sono stati individuati nove file LNK malevoli, distribuiti tramite archivi ZIP. Ogni archivio conteneva a sua volta un secondo archivio ZIP, al cui interno si trovavano un file PDF esca, un eseguibile legittimo ma rinominato e una DLL malevola che veniva caricata tramite la tecnica del DLL sideloading. Questa DLL, denominata ETDownloader, funge da primo stadio, installando successivamente l'impianto di raccolta dati XDigo.

Funzionalità di XDigo e obiettivi degli attacchi

XDigo si comporta come uno stealer, raccogliendo file, estraendo contenuti dagli appunti e catturando screenshot. Inoltre, è in grado di eseguire comandi remoti ricevuti tramite richieste HTTP GET e di esfiltrare i dati tramite HTTP POST. Le analisi hanno identificato almeno un bersaglio confermato nella regione di Minsk, ma sono emersi indizi che suggeriscono la compromissione di gruppi retail russi, istituti finanziari, compagnie assicurative e servizi postali governativi.

Connessione con il gruppo XDSpy e considerazioni sulla minaccia

Questo schema di attacco è coerente con l'attività storica del gruppo di cyber spionaggio noto come XDSpy, attivo dal 2011 contro obiettivi governativi in Europa orientale e nei Balcani. XDSpy ha affinato le proprie capacità di evasione, sviluppando malware in grado di eludere anche soluzioni sandbox avanzate adottate da enti pubblici e finanziari. La minaccia rappresentata da XDigo evidenzia la necessità di monitorare costantemente le vulnerabilità di Windows e di adottare strategie difensive aggiornate contro campagne di cyber spionaggio sempre più sofisticate e mirate.