La campagna malware VOIDGEIST mostra come gli attaccanti stiano puntando su catene di infezione multi stage sempre più difficili da rilevare, basate su script e tecniche fileless. In questo scenario la distribuzione dei payload avviene tramite batch script offuscati che orchestrano più fasi, fino a consegnare diversi remote access trojan come XWorm, AsyncRAT e Xeno RAT. Il punto di forza è la capacità di far apparire ogni passaggio come un normale comportamento amministrativo, riducendo le possibilità di detection tradizionale.

Il flusso iniziale parte spesso da email di phishing che portano al download di un batch script ospitato su domini TryCloudflare. Una volta eseguito, lo script evita azioni rumorose come privilege escalation e sfrutta i permessi dell’utente loggato per ottenere un primo foothold. Per distrarre la vittima viene aperto un PDF esca, tipicamente una fattura o un documento finanziario, lanciando Google Chrome a schermo intero. Nel frattempo viene avviato PowerShell per rieseguire lo script in modalità nascosta, ad esempio con WindowStyle Hidden, così da non mostrare finestre console.

Per la persistenza, la catena usa una tecnica semplice ma efficace: un ulteriore batch script viene copiato nella cartella Startup del profilo utente Windows, garantendo l’esecuzione automatica a ogni login. La scelta di non creare servizi o scheduled task riduce la traccia forense e limita gli alert basati su modifiche a chiavi di registro di sistema.

La fase successiva scarica archivi ZIP con componenti multipli, tra cui un loader Python runn.py e blob di shellcode cifrati associati ai vari RAT, insieme a file JSON che contengono le chiavi di decifratura. Un elemento chiave è l’uso di un runtime Python embedded legittimo scaricato da python.org, che rende l’ambiente di esecuzione portabile e indipendente dalla presenza di Python sul sistema. Il loader decifra i payload a runtime e li esegue direttamente in memoria tramite injection in processi explorer.exe usando Early Bird APC injection, una tecnica che aumenta la stealthiness.

In alcune varianti viene sfruttato anche un binario Microsoft legittimo come AppInstallerPythonRedirector.exe per invocare Python e avviare componenti come Xeno RAT. L’infezione si chiude con un beacon HTTP minimale verso infrastrutture C2, spesso ancora su TryCloudflare, per confermare la compromissione. Dal punto di vista difensivo, un indicatore comportamentale importante è la ripetuta process injection su explorer.exe in finestre temporali brevi, coerente con un’architettura modulare che rilascia componenti in modo incrementale.