Nel panorama della cybersecurity torna a farsi notare Dust Specter, un attore di minaccia collegato con sospetta origine iraniana, attribuito a una campagna mirata contro funzionari governativi in Iraq. Il gruppo avrebbe utilizzato esche credibili che imitano il Ministero degli Affari Esteri iracheno per distribuire nuove famiglie di malware mai osservate prima, con due catene di infezione distinte che portano al rilascio di componenti come SPLITDROP, TWINTASK, TWINTALK e GHOSTFORM.

Un elemento centrale della campagna è la comunicazione command and control realizzata con percorsi URI generati casualmente e arricchiti da valori di checksum, un dettaglio pensato per garantire che le richieste provengano davvero da sistemi compromessi. A questo si aggiungono controlli di User Agent e tecniche di geofencing, utili a limitare l’esposizione dell’infrastruttura C2 e a ridurre le opportunità di analisi da parte dei ricercatori. Degna di nota anche la scelta di appoggiarsi a infrastrutture legate al governo iracheno precedentemente compromesse per ospitare payload malevoli, oltre a meccanismi di evasione come ritardi di esecuzione per restare sotto traccia.

Prima catena di attacco: SPLITDROP, TWINTASK e TWINTALK

La prima catena di attacco parte da un archivio RAR protetto da password che contiene un dropper .NET chiamato SPLITDROP. Questo componente funge da tramite per due moduli: TWINTASK, un worker, e TWINTALK, un orchestratore C2.

TWINTASK viene distribuito come DLL malevola con nome libvlc.dll e viene eseguito tramite sideloading usando un binario legittimo vlc.exe. Il modulo implementa un polling basato su file, controllando ogni 15 secondi un file in.txt in una directory di ProgramData per recuperare comandi da eseguire via PowerShell. I risultati e gli errori vengono salvati in out.txt, mentre la persistenza viene ottenuta con modifiche al Registro di Windows.

TWINTALK opera in parallelo, coordina i task e comunica con il server C2, supportando funzioni di download e upload e scrivendo i comandi in in.txt.

Seconda catena di attacco: GHOSTFORM

La seconda catena evolve questo schema consolidando le funzioni in un unico binario, GHOSTFORM, che privilegia l’esecuzione in memoria di script PowerShell, riducendo gli artefatti su disco. Alcune varianti includono anche un URL di Google Forms che si apre automaticamente nel browser e simula un sondaggio ufficiale in arabo, aumentando il realismo dell’ingegneria sociale. Analisi del codice suggeriscono inoltre un possibile supporto di strumenti di intelligenza artificiale generativa nello sviluppo, grazie alla presenza di segnaposto e stringhe particolari.