Una recente campagna di spear phishing sta colpendo in modo mirato organizzazioni in Uzbekistan e Russia distribuendo NetSupport RAT, un remote access trojan basato su un software legittimo di amministrazione remota. Questa tecnica rende l’attacco più credibile e difficile da individuare, perché lo strumento usato è normalmente impiegato per assistenza tecnica e gestione dei sistemi. Le infezioni osservate indicano un focus particolare su contesti aziendali e istituzionali, con un numero di vittime stimato superiore a 60, un volume elevato per operazioni mirate.
I settori più esposti includono manifattura, finanza e IT, ma sono stati registrati tentativi anche contro enti governativi, logistica, strutture sanitarie e istituti educativi. La distribuzione geografica mostra una concentrazione in Uzbekistan con decine di sistemi compromessi e un impatto più contenuto in Russia, oltre a casi rilevati in altri paesi. Il quadro suggerisce una motivazione prevalentemente economica, anche se l’uso intensivo di strumenti di controllo remoto può aprire scenari di cyber spionaggio, dato che un RAT consente accesso persistente e raccolta di informazioni.
Catena di infezione
La catena di infezione parte da email di phishing con allegati PDF malevoli. I documenti contengono link che, una volta cliccati, scaricano un loader progettato per eseguire più azioni. Tra queste compare la visualizzazione di un falso messaggio di errore per confondere l’utente e ridurre i sospetti. Il loader applica anche un controllo sul numero di tentativi di installazione del RAT, limitandoli a meno di tre, e in caso contrario mostra un avviso che invita a provare su un altro computer. Se la condizione è soddisfatta, il malware scarica NetSupport RAT da domini esterni e lo avvia.
Persistenza
Per mantenere la persistenza, vengono configurati meccanismi multipli come script di avvio automatico nella cartella Startup, chiavi di esecuzione automatica nel Registro di sistema e attività pianificate che rilanciano uno script batch. Questa ridondanza aumenta la probabilità che l’accesso remoto resti attivo anche dopo riavvii e interventi parziali di pulizia.
Evoluzione della campagna
Sono emersi anche indizi di un possibile ampliamento dell’arsenale, con payload associati a botnet IoT presenti nella stessa infrastruttura, un segnale utile per chi fa threat intelligence e monitoraggio delle campagne.