Una nuova campagna di cyber attacchi attribuita con moderata confidenza al gruppo APT28 sta prendendo di mira organizzazioni e enti in Ucraina attraverso una catena di infezione basata su phishing e due famiglie di malware finora non documentate chiamate BadPaw e MeowMeow.

Il punto di partenza è una email di phishing che contiene un collegamento a un archivio ZIP. Il messaggio viene inviato da un dominio che può sembrare credibile per il destinatario e punta a indurre fiducia e urgenza, aumentando la probabilità di clic.

Catena di infezione e reindirizzamenti

Dopo il clic, la vittima non scarica subito il file. Prima viene reindirizzata a una risorsa che carica un’immagine estremamente piccola, usata come tracking pixel per segnalare agli attaccanti che il link è stato aperto. Solo in seguito avviene un secondo reindirizzamento verso l’URL da cui viene scaricato l’archivio ZIP.

All’interno del pacchetto è presente un file HTA, ovvero una HTML Application di Windows, che una volta eseguita mostra un documento esca in lingua ucraina legato a temi di attraversamento del confine e richieste governative: una tecnica di social engineering pensata per mantenere l’apparenza di legittimità mentre in background partono le fasi malevole.

Anti-analisi e persistenza

La catena include controlli anti analisi per eludere sandbox e ambienti di test. In particolare, il malware interroga una chiave del Registro di Windows collegata alla data di installazione del sistema operativo per stimarne l’anzianità e interrompe l’esecuzione se il sistema risulta installato da meno di dieci giorni.

Se i controlli vengono superati, l’HTA estrae componenti aggiuntivi, tra cui uno script VBScript e una immagine PNG rinominata, e crea una scheduled task per garantire persistenza ed esecuzione periodica dello script.

BadPaw (loader .NET) e uso di PNG come contenitore

Il VBScript ha il compito di estrarre codice nascosto dentro la PNG, che funge da contenitore offuscato per BadPaw, un loader in ambiente .NET. BadPaw stabilisce la comunicazione con un server di comando e controllo per scaricare ulteriori moduli, incluso il backdoor MeowMeow.

Per confondere analisi manuali, se alcuni componenti vengono avviati fuori sequenza possono mostrare una interfaccia esca a tema gatto con azioni innocue.

MeowMeow (backdoor) e capacità operative

MeowMeow attiva le funzionalità dannose solo se eseguito con un parametro specifico fornito dalla catena iniziale e dopo ulteriori verifiche per evitare strumenti di monitoraggio e analisi.

Una volta operativo, il backdoor consente controllo remoto tramite comandi PowerShell e operazioni sul file system come lettura, scrittura e cancellazione di dati, rendendo la compromissione particolarmente critica per ambienti istituzionali e infrastrutture.