La minaccia informatica UAT 10027 è stata collegata a una campagna malevola attiva almeno da dicembre 2025 contro organizzazioni dei settori istruzione e sanità negli Stati Uniti. L’obiettivo principale degli attaccanti è distribuire una backdoor finora non documentata chiamata Dohdoor, progettata per mantenere accesso persistente e aprire la strada a ulteriori payload.

Secondo le analisi tecniche, il punto di ingresso iniziale non è stato confermato, ma lo scenario più probabile include tecniche di social engineering e phishing che portano la vittima a eseguire uno script PowerShell. Da qui la catena di infezione prosegue con il download e l’esecuzione di uno script batch Windows ospitato su un server di staging remoto. Questo passaggio prepara l’ambiente al rilascio del componente principale sotto forma di DLL malevola, osservata con nomi come propsys.dll o batmeter.dll.

Un elemento chiave della campagna è l’uso della tecnica DLL side loading, in cui la DLL dannosa viene caricata tramite eseguibili Windows legittimi come Fondue.exe, mblctr.exe o ScreenClippingHost.exe. In questo modo il malware sfrutta la fiducia associata ai binari di sistema e riduce la probabilità di blocco immediato. Una volta avviata, la backdoor crea un canale di comando e controllo e può scaricare ed eseguire in memoria altri moduli, con esecuzione riflessiva, evitando di scrivere file aggiuntivi su disco.

Dohdoor utilizza DNS over HTTPS per le comunicazioni C2, una scelta che aiuta a eludere controlli basati su DNS tradizionale, sinkhole e alcune forme di analisi del traffico. Inoltre l’infrastruttura C2 risulta mascherata dietro Cloudflare, facendo apparire il traffico in uscita come normale HTTPS verso indirizzi IP considerati affidabili. La fase successiva osservata è compatibile con un beacon di Cobalt Strike, tipico strumento usato per post exploitation e movimento laterale.

Sul fronte evasione, il malware è stato associato anche a tecniche di bypass EDR tramite unhooking di system call, riducendo la visibilità di monitoraggi basati su API di Windows. Al momento non emergono prove di esfiltrazione dati, ma la scelta delle vittime e alcuni indicatori suggeriscono una motivazione economica.