Una recente campagna di cyber spionaggio ha mostrato quanto il DNS poisoning possa diventare un vettore efficace per distribuire malware in modo mirato. In questo scenario un gruppo APT collegato alla Cina noto come Evasive Panda e identificato anche con altri nomi operativi ha condotto attacchi tra novembre 2022 e novembre 2024 contro vittime selezionate in Turchia, Cina e India, utilizzando tecniche adversary in the middle per manipolare le risposte DNS e consegnare il backdoor MgBot.

Il punto di forza dell’operazione è la capacità di alterare la risoluzione dei domini in modo selettivo, spesso in base alla posizione geografica e al provider internet della vittima. In pratica, quando un software legittimo tenta di contattare un dominio reale per scaricare un aggiornamento, la vittima riceve invece una risposta DNS che punta a un server controllato dagli attaccanti. Questo permette di distribuire falsi aggiornamenti camuffati da pacchetti affidabili, riducendo i sospetti e aumentando la probabilità di esecuzione.

Tra le esche osservate compaiono aggiornamenti finti per applicazioni e strumenti diffusi, inclusi servizi video e utility di sistema. In un caso emblematico, il dominio usato per un componente di update è stato risolto verso un indirizzo IP malevolo, così da sostituire i binari scaricati in percorsi tipici dell’ambiente utente. In altri passaggi della catena di infezione l’attaccante utilizza un primo loader che avvia shellcode e recupera una seconda fase cifrata mascherata come immagine PNG, ottenuta ancora una volta tramite manipolazione DNS da un sito legittimo. La richiesta HTTP include anche informazioni sulla versione di Windows, suggerendo un adattamento del payload in base al sistema operativo.

Per rendere più complessa l’analisi, viene impiegato un loader secondario che sfrutta sideloading di una DLL e una versione rinominata di python.exe. Il payload viene scritto e letto da un file locale e protetto con una combinazione personalizzata che include DPAPI e RC5, così che la decodifica risulti legata alla specifica macchina compromessa. La fase finale porta all’iniezione di MgBot in un processo legittimo come svchost.exe. MgBot è modulare e può esfiltrare file, registrare tasti, raccogliere dati dagli appunti, registrare audio e sottrarre credenziali dai browser, garantendo persistenza e furtività.