Il gruppo di cyber spionaggio noto come SideWinder ha recentemente adottato una nuova catena di attacco basata su ClickOnce, prendendo di mira ambasciate europee a New Delhi e diverse organizzazioni in Sri Lanka, Pakistan e Bangladesh. Secondo quanto emerso da recenti analisi, questa campagna, attiva almeno da settembre 2025, rappresenta un'evoluzione significativa nelle tecniche e nelle procedure impiegate dal gruppo. In particolare, SideWinder ha iniziato a sfruttare documenti PDF e applicazioni ClickOnce, oltre ai tradizionali vettori di attacco basati su vulnerabilità di Microsoft Word.

Attacchi tramite spear phishing e malware

Gli attacchi sono stati veicolati tramite email di spear phishing inviate in più ondate tra marzo e settembre 2025. Queste email miravano a distribuire malware come ModuleInstaller e StealerBot, progettati per raccogliere informazioni sensibili dai dispositivi compromessi. Mentre ModuleInstaller funge da downloader per caricare ulteriori payload dannosi, StealerBot – un impianto basato su .NET – consente di aprire una reverse shell, scaricare altro malware e raccogliere dati come screenshot, tasti digitati, password e file.

Catena di infezione e uso di ClickOnce

La catena di infezione inizia sempre con un file PDF che spesso non può essere visualizzato correttamente dalla vittima, oppure con un documento Word contenente exploit. Il PDF invita l’utente a scaricare una versione aggiornata di Adobe Reader tramite un pulsante. In realtà, cliccando si scarica da un server remoto un’applicazione ClickOnce legittima di MagTek Inc., firmata digitalmente, ma utilizzata per caricare di nascosto una DLL malevola (DEVOBJ.dll). Contestualmente viene mostrato un PDF di copertura per non insospettire la vittima.

Modus operandi del malware

La DLL, una volta eseguita, decripta e lancia ModuleInstaller, il quale si occupa di profilare il sistema infetto e scaricare StealerBot. Il traffico verso il server di comando e controllo è limitato geograficamente al Sud-est asiatico e il percorso di download viene generato dinamicamente, rendendo più difficile l'analisi dei ricercatori di sicurezza.

Sofisticazione e impatto delle nuove tecniche

Questa nuova strategia dimostra la capacità di SideWinder di adattarsi e raffinare le proprie tecniche, sfruttando software legittimo per aggirare i sistemi di difesa e rendere più difficile l’individuazione delle attività malevole. L’uso di campagne di phishing mirate e di malware personalizzato, insieme alla continua evoluzione dei vettori di attacco, sottolinea la pericolosità e la sofisticazione di questo gruppo nel panorama dell’espionaggio informatico internazionale.