Negli ultimi mesi, il panorama della sicurezza informatica ha registrato una nuova e sofisticata minaccia legata al gruppo UTA0388, un attore malevolo allineato con la Cina che ha condotto campagne di spear phishing contro organizzazioni in Nord America, Asia ed Europa. Il loro obiettivo principale è la distribuzione di GOVERSHELL, un malware di tipo backdoor sviluppato in linguaggio Go, che rappresenta l’evoluzione di una precedente famiglia di malware nota come HealthKick.

Le campagne di phishing di UTA0388

Le campagne di phishing orchestrate da UTA0388 si distinguono per l’uso di identità fittizie e messaggi apparentemente provenienti da ricercatori o analisti di organizzazioni credibili, ma in realtà inesistenti. Questi messaggi, scritti in diverse lingue tra cui inglese, cinese, giapponese, francese e tedesco, invitano le vittime a cliccare su link che portano al download di archivi ZIP o RAR contenenti DLL malevole. La tecnica di DLL side-loading permette di eseguire il payload in modo furtivo, installando così la backdoor GOVERSHELL sui sistemi compromessi.

Le varianti di GOVERSHELL individuate

Nel corso del 2025 sono state individuate almeno cinque varianti distinte di GOVERSHELL.

• HealthKick: rilevata nell’aprile 2025, permetteva l’esecuzione di comandi tramite cmd.exe.
• TE32 e TE64: versioni ottimizzate per l’uso di PowerShell, in grado di raccogliere informazioni di sistema e comunicare con server remoti.
• WebSocket e Beacon: introducono funzionalità avanzate come la gestione di intervalli di polling e l’esecuzione dinamica di comandi PowerShell.

L’utilizzo dell’intelligenza artificiale nelle campagne di phishing

Un elemento particolarmente innovativo di queste campagne è l’utilizzo di ChatGPT per la generazione automatica di contenuti di phishing, anche in lingue asiatiche. L’intelligenza artificiale viene impiegata sia per la creazione di testi ingannevoli sia per l’automazione di workflow malevoli, riducendo così l’intervento umano e aumentando la scalabilità degli attacchi. Gli account ChatGPT utilizzati da UTA0388 sono stati successivamente bloccati dalla piattaforma OpenAI.

Infrastruttura e tecniche di distribuzione

Le infrastrutture sfruttate per la distribuzione dei file malevoli comprendono servizi cloud legittimi come Netlify, Sync e OneDrive, mentre le email vengono inviate attraverso provider come Proton Mail, Outlook e Gmail. Il profilo delle vittime suggerisce un interesse particolare verso tematiche geopolitiche asiatiche, soprattutto riguardo la situazione di Taiwan.

Espansione delle campagne e tecniche correlate

Parallelamente, secondo nuove segnalazioni, campagne simili sono state osservate anche in Europa, con tentativi di compromissione di enti governativi tramite tecniche affini, come l’uso di file LNK e la diffusione di malware PlugX tramite side-loading.