Una nuova campagna di spear phishing attribuita al gruppo SideCopy ha preso di mira il Ministero delle Finanze afghano distribuendo Xeno RAT, un remote access trojan open source usato per attivita di cyber spionaggio. Loperazione, nota come Operation XENOFISCAL, non si limita al dicastero centrale ma include anche direzioni provinciali di entrate e finanza, funzionari governativi di lingua pashtu e personale amministrativo a livello locale, segnalando un chiaro interesse per dati sensibili e documenti istituzionali.
Il punto di forza della catena di infezione e la personalizzazione delle esche. Gli attaccanti usano nomi di file in pashtu per aumentare la credibilita e massimizzare la probabilita di apertura. Il vettore iniziale e un archivio ZIP che contiene un collegamento Windows LNK malevolo. Una volta eseguito, il collegamento avvia mshta exe per scaricare una applicazione HTA remota ospitata su un dominio afghano compromesso legato al settore educativo. Da li parte una fase di esecuzione in memoria tramite JavaScript offuscato, tecnica che riduce le tracce su disco e complica lanalisi forense.
Per mantenere laccesso nel tempo, la campagna implementa persistenza tramite Registro di sistema, camuffandosi da componente legittimo associato a Microsoft Edge. La distribuzione del payload avviene con un loader basato su DLL, mentre un documento esca viene rilasciato per distrarre la vittima e ritardare la reazione. Il risultato finale e linstallazione di Xeno RAT versione 1 8 7.
Xeno RAT stabilisce una connessione verso un server remoto via TCP per ricevere comandi e supporta moduli esterni DLL per estendere le funzioni. Tra le capacita osservate rientrano operazioni su file, keylogging, screenshot, monitoraggio degli appunti, raccolta di informazioni su antivirus, avvio tramite attivita pianificate, tunneling di rete con proxy SOCKS5 e accesso a webcam e microfono. Sono presenti anche funzioni per rimuovere la persistenza e disinstallarsi, utili a coprire le tracce.
Il contesto indica una continuita operativa con campagne precedenti attribuite alla stessa galassia di minacce, con un focus su enti governativi e infrastrutture critiche nellarea sud asiatica, dove phishing mirato e malware modulari restano strumenti centrali di compromissione.