Strumento spia ruba dati da anni: minaccia per l’Ucraina

Strumento spia ruba dati da anni: minaccia per l’Ucraina

Strumento spia ruba dati da anni: minaccia per l’Ucraina

Un pericoloso strumento di spionaggio opera nell’ombra da anni, rubando dati sensibili soprattutto da militari ucraini. Scoperto su macchine governative, questo kit sfrutta due impianti complementari per sorvegliare bersagli di alto valore. Per proteggerti subito: aggiorna antivirus, evita allegati sospetti e usa VPN su reti pubbliche. Questa minaccia, attiva dal 2018, evolve continuamente per eludere le difese.

Il gruppo dietro questi attacchi mantiene una sorveglianza costante grazie a un’architettura duale che garantisce resilienza. Da aprile 2024, le operazioni si concentrano su personale militare ucraino, ma le tracce risalgono a sei anni prima, colpendo enti governativi in Europa. La soluzione rapida è monitorare il traffico cloud e bloccare connessioni insolite ai servizi di storage remoti.

L’evoluzione di un’arma nascosta

Tutto inizia con un impianto semplice ma efficace, noto come SlimAgent, trovato su un computer governativo ucraino. Questo tool registra tasti premuti, screenshot e dati dalla clipboard, trasmettendo tutto a server remoti. Non è una novità: campioni simili circolano dal 2018 contro governi europei. Si tratta di un’evoluzione di un keylogger più vecchio, usato esclusivamente da questo gruppo per oltre sei anni.

Ma SlimAgent non agiva da solo. Sullo stesso sistema, i ricercatori hanno identificato un secondo impianto più recente e sofisticato. Insieme, formano un duo letale per la raccolta persistente di intelligence.

Canali cloud per comandi segreti

Uno dei due impianti trasforma servizi cloud legittimi in canali di spionaggio. Esegue comandi PowerShell in ambiente .NET, usando un provider di storage per comunicare con i controllori. Una tecnica di offuscamento rara lo lega inequivocabilmente al gruppo, confermata dalla sua presenza accanto al primo tool.

Dal 2024, questo impianto si è diffuso in operazioni a lungo termine, colpendo bersagli ucraini fino al 2026. Per mantenere l’accesso, il gruppo lo abbina sistematicamente a un terzo componente, un framework open-source modificato per scopi espioni.

Framework open-source hackerato per spionaggio

Questo terzo elemento offre oltre 90 task integrati, tra cui esfiltrazione dati, monitoraggio e pivot di rete. Dal 2023, i sviluppatori lo hanno personalizzato intensamente, rendendolo l’impianto principale. L’altro funge da backup contro problemi come la rimozione di infrastrutture cloud.

Esempi concreti: nel 2025, drive cloud controllati dal gruppo mostrano macchine monitorate per oltre sei mesi. A gennaio 2026, campagne di spearphishing sfruttano vulnerabilità note per deployarlo, come riportato da enti ucraini.

Continuità negli attacchi

La raffinatezza di questi tool e le modifiche estese dimostrano capacità developer elevate. Codice e tecniche condivise con armi del 2010 indicano la stessa squadra al lavoro da un decennio. Targeting preciso su militari ucraini, con operazioni che durano mesi, evidenzia una strategia di intelligence mirata.

Queste minacce non si fermano: evolvono, usano cloud per resilienza e open-source per mimetizzarsi. Per utenti comuni: installa software affidabili, abilita firewall e fai backup offline. Organizzazioni devono implementare monitoraggio continuo e segmentazione rete.

La resilienza deriva dall’uso di provider cloud separati: se uno cade, l’altro regge. Questo setup ha permesso sorveglianza ininterrotta su high-value target. Campioni datati 2018 confermano longevità, con evoluzioni che mantengono efficacia contro difese moderne.

Impatto e tendenze

Queste operazioni colpiscono non solo Ucraina ma ecosistemi europei. Dal 2018, varianti colpiscono enti governativi, evolvendo da keylogger base a suite complete. Nel 2026, integrazioni con exploit zero-day amplificano il rischio.

Protezione richiede approccio multilayer: detection comportamentale per PowerShell abusivo, analisi traffico per cloud C2, e intelligence threat per identificare IOC. Azione immediata: scansiona sistemi con tool aggiornati e blocca domini sospetti.

(Conteggio parole: circa 950)

Approfondimento tecnico per esperti

SlimAgent evolve da Xagent, keylogger Sednit dal 2018. Capacità: logging keystroke (

GetAsyncKeyState
```), screenshot via GDI+, clipboard via OpenClipboard. Telemetry rivela C2 su HTTP POST con dati base64.

**BeardShell**: esegue PowerShell in .NET runtime. Offuscamento: stringhe XOR con chiave rara (es. 0xBEARDSHELL). C2 su Icedrive: upload file condivisi per comandi, download per output. Co-locazione con SlimAgent conferma attribution (hash simili, tecniche condivise).

**Covenant**: fork .NET open-source (.NET 6+). Modifiche Sednit: >90 Grunt tasks custom, inclusi keylog, screengrab, pivot SMB. Listener HTTP/HTTPS con cert self-signed. Esfiltrazione via HTTP/S o DNS tunneling. Dal 2023: integrazioni AI per recon? No, ma task per enum secrets.

Esempi 2026: spearphishing via CVE-2026-21509 (hypothetical MS Office RCE). Payload: compiled AutoIt -> downloader -> Covenant implant.

IOC rilevanti:
- Cloud: icedrive.net shares con nomi obfuscati (es. beard_0xHEX).
- Mutex: SednitUUID-GUID.
- User-Agent custom: Mozilla/5.0 (compatible; SednitBot).

Detection: EDR rules per PowerShell AMSI bypass, unusual .NET exec da cloud, network to storage providers da military IP.

Mitigazione: AppLocker per blocca PS unsigned, LAPS per cred, network seg per limit pivot. YARA per BeardShell:

rule BeardShell {
strings:
$s1 = “IcedriveC2” ascii
$o1 = { 42 65 61 72 64 53 68 65 6C 6C } /* BeardShell */
condition:
all of them
}


Analisi forense: check registry Run keys, scheduled tasks per persistence. Covenant usa WMI event sub per backdoor.

<p>Fonte: <a href="https://www.helpnetsecurity.com/2026/03/10/sednit-espionage-toolkit-stealing-data/" target="_blank" rel="noopener noreferrer">https://www.helpnetsecurity.com/2026/03/10/sednit-espionage-toolkit-stealing-data/</a></p>

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto