Phishing “aiuti umanitari” UAC-0247: cliniche ucraine violate, rubati dati Chromium e WhatsApp

Tra marzo e aprile 2026 una campagna malware attribuita al cluster UAC-0247 ha preso di mira enti governativi e strutture sanitarie municipali in Ucraina, con un focus su cliniche e ospedali di emergenza. L’obiettivo è il furto di dati sensibili, in particolare informazioni memorizzate nei browser basati su Chromium e contenuti legati a WhatsApp, con tecniche utili anche a ricognizione e movimento laterale nella rete.

La catena di infezione parte da email di phishing costruite per sembrare proposte di aiuti umanitari. Il messaggio spinge la vittima a cliccare un link che porta o a un sito legittimo compromesso tramite vulnerabilità XSS oppure a un sito falso creato con supporto di strumenti di intelligenza artificiale. In entrambi i casi, il fine è indurre il download e l’esecuzione di un file LNK, un collegamento Windows che avvia un passaggio successivo particolarmente insidioso.

Una volta eseguito il LNK, viene richiamata una HTA tramite mshta.exe, un componente nativo di Windows spesso abusato dagli attaccanti per eseguire codice senza introdurre subito binari sospetti. L’HTA mostra un modulo esca per distrarre l’utente, mentre in background scarica un componente che inietta shellcode in un processo legittimo come runtimeBroker.exe. In alcune varianti recenti è stato osservato anche un loader a due stadi, con un secondo stadio in un formato eseguibile proprietario e payload finale compresso e cifrato, utile a rendere più difficile l’analisi e il rilevamento.

Tra gli strumenti impiegati compare un reverse shell TCP noto come RAVENSHELL, che apre una connessione verso un server di gestione per ricevere comandi eseguiti tramite cmd.exe. Vengono inoltre distribuiti il malware AGINGFLY, sviluppato in C# e progettato per il controllo remoto via WebSockets, e uno script PowerShell chiamato SILENTLOOP capace di eseguire comandi, aggiornare la configurazione e recuperare l’indirizzo del server di comando e controllo anche da un canale Telegram, con meccanismi di fallback.

Le analisi di più incidenti indicano l’uso di tool open source per esfiltrazione e post-exploitation, tra cui:

• ChromElevator: per aggirare le protezioni di cifratura ABE di Chromium e rubare cookie e password salvate.
• ZAPiXDESK: per decrittare database locali di WhatsApp Web.
• RustScan: per scansione di rete.
• Ligolo Ng e Chisel: per tunneling.
• XMRig: per mining di criptovalute.

Sono emerse anche tracce di distribuzione via Signal di archivi ZIP malevoli che rilasciano AGINGFLY sfruttando DLL side loading.

Per ridurre la superficie di attacco è consigliato limitare l’esecuzione di file LNK, HTA e JS e controllare l’uso di utility legittime come mshta.exe, powershell.exe e wscript.exe, spesso centrali nelle campagne di malware e data theft.