C2 via Posta Elettronica: Application Layer Protocol – Mail Protocols (T1071.003)

Il cuore di questa tecnica sta nella capacità di far transitare comandi C2 attraverso un canale che i firewall lasciano quasi sempre aperto. In laboratorio, replicarla richiede un'infrastruttura email controllata e un impianto capace di interagire con le caselle di posta.

Preparazione dell'infrastruttura. Il primo passo è un mail server dedicato. Postfix (open source) su una VM Linux costituisce la soluzione più rapida. Dopo l'installazione, si configura un dominio fittizio e si creano due caselle: una per il "C2 operator" e una per l'"impianto". Per ambienti più realistici, si possono registrare account gratuiti su provider come Gmail o Outlook — esattamente come documentato per APT28, che ha utilizzato account Google Mail auto-registrati e successivamente server email compromessi delle vittime stesse.

Simulazione SMTP/POP3 con Python. La libreria standard smtplib permette di inviare comandi codificati come allegati o nel corpo del messaggio. Un impianto minimale potrebbe seguire questo schema:

python3 -c "import smtplib; s = smtplib.SMTP('', 587); s.starttls(); s.login('', ''); s.sendmail('', '', 'Subject: report\n\n'); s.quit()"

Sul lato di ricezione, poplib o imaplib permettono di interrogare la casella alla ricerca di nuovi comandi. Questo ciclo send/receive replica fedelmente il comportamento di Cannon, che sfrutta SMTP/S e POP3/S per inviare e ricevere email come canale C2 bidirezionale, e di Zebrocy, che adotta la stessa coppia di protocolli.

Simulazione con tool dedicati. Per test più strutturati, Sliver (open source) e Cobalt Strike (a pagamento) supportano profili C2 personalizzabili; tuttavia, nessuno dei due include nativamente un canale email. L'approccio più fedele alla minaccia reale consiste nello sviluppare un modulo custom — o nell'utilizzare Merlin (open source), il cui framework modulare in Go consente di integrare trasporti alternativi.

Un esercizio particolarmente istruttivo è replicare il pattern di ComRAT e LunarMail: entrambi sfruttano l'interfaccia MAPI di Outlook per leggere e scrivere email senza generare traffico SMTP visibile a livello di rete — i dati transitano attraverso la connessione HTTPS già stabilita dal client di posta. In laboratorio, si può simulare con uno script VBA che accede all'oggetto Outlook.Application per creare e leggere elementi nella cartella Bozze, un canale C2 che non produce alcun messaggio in uscita.

Per il versante network, Wireshark (open source) è indispensabile: catturando il traffico sulle porte 25, 587, 465 (SMTP) e 993, 995 (IMAP/POP3 cifrati) è possibile verificare quali artefatti risultano visibili a un difensore e quali restano opachi sotto TLS.

La detection di C2 via mail protocol si gioca su un principio cardine: in un'organizzazione moderna, solo i mail server autorizzati e i client di posta legittimi dovrebbero generare traffico SMTP, IMAP o POP3. Qualsiasi deviazione da questo schema è un segnale.

Log source primari. Su Windows, Sysmon (WinEventLog:Sysmon) è la fonte più granulare. L'EventID 3 (Network Connection) registra ogni connessione in uscita con il processo sorgente, l'IP di destinazione e la porta. La regola fondamentale è: se il processo che inizia una connessione verso le porte 25, 587, 465, 993 o 995 non è il client email aziendale (Outlook, Thunderbird), quell'evento merita un alert. Binari come powershell.exe, rundll32.exe, wscript.exe o qualsiasi eseguibile non firmato che genera traffico SMTP sono indicatori ad alta fedeltà.

Su Linux, auditd con regole SYSCALL sulla famiglia di chiamate connect permette di intercettare connessioni anomale. I flow di rete (NSM:Flow) — prodotti da Zeek (open source) o Suricata (open source) — completano il quadro con metadati di sessione: durata, byte trasferiti, certificati TLS.

Su macOS, i log unificati (macos:unifiedlog) e query OSQuery (open source) permettono di identificare processi Terminal, AppleScript o Automator che interagiscono con protocolli email in contesti non standard.

Costruzione degli alert. La strategia di tuning si articola su tre assi:

• Processo sorgente: whitelist dei client email legittimi; tutto il resto è sospetto. Le librerie .NET SMTP invocate da script PowerShell sono un pattern ricorrente in Agent Tesla e SilverTerrier.
• Destinazione: ogni connessione SMTP/IMAP verso IP esterni che non corrispondono ai relay aziendali autorizzati va segnalata. Il rapporto tra byte in uscita e in ingresso (OutflowToInflowRatio) aiuta a distinguere un C2 beaconing (piccoli comandi, piccole risposte) da un'esfiltrazione (volumi asimmetrici in uscita).
• Contesto temporale: invii email da processi batch o script durante orari non lavorativi — specialmente da cron job su Linux — sono anomali.

Gestione dei falsi positivi. I sistemi di monitoraggio, le applicazioni di ticketing e gli script di automazione IT spesso inviano email via SMTP. È essenziale catalogare questi flussi legittimi in una baseline. Un approccio efficace è creare una lookup table in Splunk (a pagamento) o Elastic Security (freemium) che mappi i processi autorizzati a inviare email, le porte consentite e i relay approvati. Ogni evento che non corrisponde alla lookup genera un alert.

I sistemi IDS/IPS con firme specifiche per malware noti — come indicato dalla mitigazione Network Intrusion Prevention — aggiungono un livello complementare per intercettare pattern di comunicazione già catalogati.

Quando l'indagine punta a un C2 via protocollo email, gli artefatti si distribuiscono tra endpoint e infrastruttura di rete, con caratteristiche diverse a seconda che l'impianto utilizzi connessioni SMTP/POP3 dirette oppure si appoggi all'API del client di posta.

Artefatti di rete. I log del mail server aziendale — o del mail gateway — sono la prima fonte. Ogni relay registra mittente, destinatario, dimensione, timestamp e, in molti casi, l'hash degli allegati. Se l'impianto si connette direttamente a un server esterno bypassando il relay aziendale, i flow Zeek o Suricata riveleranno connessioni SMTP/IMAP anomale con IP di destinazione non censiti nell'infrastruttura email. Il log smtp.log di Zeek registra il campo HELO/EHLO, il mittente dichiarato e il codice di risposta del server — dettagli preziosi per correlare sessioni.

Artefatti endpoint — Windows. Per impianti che usano Outlook MAPI (come LunarMail e ComRAT), la casella di posta locale è l'artefatto principale. I file .ost e .pst possono contenere i messaggi C2: allegati codificati in base64, corpi con comandi offuscati, bozze mai inviate usate come dead drop. Lo strumento pffexport del pacchetto libpff (open source) consente l'estrazione e l'analisi di questi file:

pffexport -m all

I log Sysmon forniscono la correlazione processo-rete. Filtrando per EventID 3 sulle porte 25, 587, 993, 995, si ottiene la mappa temporale delle connessioni. L'EventID 1 (Process Create) rivela la catena di esecuzione: se un processo figlio di winword.exe avvia connessioni SMTP, si è probabilmente di fronte a una macro malevola — il pattern documentato per APT32 e Goopy.

Artefatti endpoint — Linux. I log di auditd con regole sulla syscall connect registrano PID, processo e indirizzo di destinazione. I file di spool in /var/spool/mail/ e i log di sendmail o postfix locali possono contenere tracce di invii non autorizzati. Per gli script inseriti in cron, il file /var/log/cron (o journalctl -u cron) rivela la schedulazione.

Ricostruzione della timeline. L'analista dovrebbe incrociare almeno tre fonti: timestamp delle connessioni di rete (flow), timestamp dei messaggi email nel mail server o nella casella locale, e timestamp dei processi Sysmon/auditd. La convergenza di questi tre assi su una stessa finestra temporale — un processo anomalo che si connette a una porta SMTP, un messaggio con allegato codificato che appare nella casella, un flow verso un IP esterno non censito — costituisce la prova della catena C2. Tool come Plaso/log2timeline (open source) permettono di fondere queste fonti in un'unica supertimeline ordinata cronologicamente.

Il C2 via protocollo email non è un espediente occasionale: è una scelta architetturale che accomuna attori statali sofisticati e gruppi cybercriminali a vocazione finanziaria. Analizzare chi la adotta rivela pattern operativi ricorrenti.

Turla (G0010) rappresenta il vertice della sofisticazione. Il gruppo russo impiega molteplici backdoor che comunicano con il C2 attraverso allegati email — un approccio incarnato da ComRAT, LightNeuron, Uroburos e NightClub. LightNeuron è particolarmente significativo: opera come Transport Agent di Microsoft Exchange, intercettando e manipolando email in transito senza generare traffico aggiuntivo. Il malware LunarMail prosegue questa filosofia sfruttando Outlook MAPI. L'arsenale di Turla è il più diversificato nell'ecosistema email-based C2, con almeno cinque famiglie malware dedicate a questo canale.

APT28 (G0007), altro attore russo, predilige un approccio multi-protocollo: IMAP, POP3 e SMTP sono utilizzati in parallelo attraverso impianti come CHOPSTICK, CORESHELL, Zebrocy, Cannon e OLDBAIT. La caratteristica distintiva è l'uso iniziale di account email auto-registrati su piattaforme pubbliche, con successiva migrazione verso server email compromessi delle vittime stesse — un'evoluzione che complica enormemente il blocco del canale C2.

APT32 (G0050), attore legato al Vietnam, utilizza macro Office per stabilire comunicazioni C2 via email. Il malware Goopy implementa una backdoor Outlook che si integra nel client di posta come un componente apparentemente legittimo.

Kimsuky (G0094), gruppo nordcoreano, sfrutta l'email non solo per C2 ma anche per l'esfiltrazione diretta dei dati raccolti. SilverTerrier (G0083), collettivo cybercriminale nigeriano, utilizza SMTP come canale C2 primario in campagne BEC e fraud — un contesto dove Agent Tesla è lo strumento preferito.

Contagious Interview (G1052), anch'esso di matrice nordcoreana, rappresenta un uso più indiretto: le notifiche email dai server di distribuzione malware servono a tracciare l'engagement delle vittime, un meccanismo di feedback operativo piuttosto che un canale C2 classico.

Il pattern geografico è chiaro: Russia (Turla, APT28) per lo spionaggio statale avanzato con infrastrutture email complesse; Corea del Nord (Kimsuky, Contagious Interview) per operazioni a basso costo con esfiltrazione diretta; Vietnam (APT32) per intrusioni mirate con integrazione nel client di posta; Nigeria (SilverTerrier) per frode finanziaria su larga scala. La tendenza evolutiva mostra uno spostamento dalla connessione SMTP diretta all'abuso delle API del client di posta (MAPI, EWS), che rende il traffico C2 indistinguibile dalle normali sincronizzazioni email dell'utente.

Framework MITRE ATT&CK v16 — Tecnica T1071.003, Mitigazioni M1037, M1031. Gruppi: G0010, G0083, G0050, G0007, G0094, G1052. Software: S0126, S0395, S0137, S0337, S0023, S0022, S0201, S0125, S0247, S0351, S0251, S0138, S0495, S1090, S1173, S0331, S0477, S1152, S1042, S1142. Detection: DET0135 (AN0379–AN0382). Integrato con conoscenza professionale per tool e procedure operative.