Immagina che un file apparentemente innocuo, come un documento PDF o un archivio di lavoro, contenga in realtà un codice segreto capace di aprire le porte del tuo computer ai hacker. Questo è esattamente ciò che sta accadendo in una nuova campagna di cyber-spionaggio che mira specificamente ai sistemi dei droni UAV (Unmanned Aerial Vehicle) in Ucraina. Gli attaccanti non hanno bisogno di entrare fisicamente nel tuo sistema; sfruttano invece un errore di sicurezza negli archivi RAR per inserire un programma dannoso nella sezione di ‘Startup’ di Windows, assicurandosi che si attivi ogni volta che il computer viene avviato. La soluzione immediata per chiunque gestisce questi sistemi è bloccare immediatamente l’apertura di archivi RAR non verificati e utilizzare software antivirus aggiornati che possano rilevare script VBS anomali. È fondamentale non eseguire file da fonti sconosciute e monitorare la sezione di Startup per attività sospette. Questa campagna, guidata dall’attore noto come GhostShell, rappresenta un tentativo sofisticato di raccogliere informazioni sensibili, dimostrando come la sicurezza informatica sia oggi una priorità assoluta per la difesa nazionale e la protezione dei dati aziendali.
La campagna di spionaggio appena osservata si rivolge all’ecosistema dei droni UAV in Ucraina, sfruttando un exploit noto negli archivi RAR per installare un loader VBS persistente. Questo loader, una volta attivato, recupera un payload per Windows legato a un nuovo attore emergente identificato dai ricercatori come GhostShell (con un ID di riferimento MB-0009). L’obiettivo non è solo il furto di dati, ma la compromissione profonda dei sistemi di controllo dei droni, che sono cruciali per le operazioni militari e di difesa ucraine.
Il primo elemento identificato è un archivio denominato ‘Besomar_documentation.rar’, distribuito insieme a file PDF ingannevoli che mimano il lavoro di Besomar, un noto sviluppatore ucraino di droni con ali fisse. Questi file sembrano documenti tecnici legittimi, ma sono progettati per attirare l’attenzione di personale tecnico, acquirenti e volontari del settore della difesa. L’inganno è raffinato: i file PDF fanno riferimento a hardware UAV, stazioni di ricarica, sistemi di lancio e documenti relativi alle procedure di acquisto, creando un contesto credibile che abbassa le difese psicologiche dell’utente.
L’archivio sfrutta vulnerabilità specifiche, identificati come CVE-2025-8088 e CVE-2025-6218, durante il processo di estrazione. Una volta estratto, il file VBS viene copiato nella cartella di ‘Startup’ di Windows utilizzando percorsi relativi multipli. Questa tattica garantisce che il malware si persista indipendentemente dalla directory in cui l’archivio viene aperto, rendendo molto difficile la sua eliminazione senza strumenti avanzati. Il singolo campione analizzato ha un hash SHA-256 specifico (28f58061348a1c54fa6e7ff6618630259618d4afdf78514d5fccfc993797cdff) e, sebbene inizialmente attribuito erroneamente a un altro cluster (UAC-0226), mostra tecniche operative e infrastrutture distintive che lo collegano chiaramente a GhostShell.
Il set di PDF ingannevoli è notevole per la sua profilazione del target: i file fanno riferimento a hardware UAV, stazioni di ricarica, sistemi di lancio e documenti orientati all’acquisto. Ogni file ingannevole ha dimensioni e timestamp identici (2026-06-06 16:39:42+02:00), suggerendo che sia stato creato un singolo ‘dropper’ tailored per diverse segmenti di pubblico: unità militari, personale tecnico, responsabili degli acquisti, volontari e partner del settore della difesa. Questa precisione indica una pianificazione strategica e una conoscenza approfondita del settore UAV ucraino.
In un rapporto condiviso con GBhackers, l’ente Synaptic ha confermato che la campagna è attiva da almeno febbraio 2026. L’attacco sfrutta vulnerabilità nell’estrazione RAR per posizionare un script di startup e utilizza documenti ingannevoli tailored per gli operatori e i fornitori di droni ucraini come leve di ingegneria sociale. Il sito web di hosting ingannevole, che funge da punto di partenza per l’attacco, è progettato per apparire come un portale pubblico legittimo, ma utilizza risposte di errore 404 e contenuti fasulli per camuffare i punti finali malintenzionati.
Il loader VBS stesso è un bootstrapper compact. L’analisi mostra un payload codificato in Base64 decodificato in memoria e invocato tramite ExecuteGlobal. Lo script poi scarica due eseguibili da cloudaxis[.]cc, con percorsi specifici che includono ‘/gsmft/yueu/fkvqld/tvqqwh/ushu/122.exe’ e ‘update.exe’. Il dominio è registrato a febbraio 2026, in linea con altre attività osservate di GhostShell. L’uso di risposte 404 e contenuti fasulli serve a camuffare i punti finali malintenzionati, rendendo difficile per gli analisti di sicurezza tracciare l’origine dell’attacco.
Il sandboxing tramite Kraken e MANTIS ha rivelato due eseguibili core consegnati attraverso questa infrastruttura: ‘122.exe’ e ’22.exe’. L’analisi di ‘122.exe’ offre insight sul design binario di GhostShell e sulle sue meccaniche C2 (Command and Control). Questo file è un binario PE32+ x86-64 GUI che contiene un overlay di circa 190 KB. L’overlay include un blob cifrato situato all’interno di ‘.rdata’, con un ciphertext ad alta entropia e una tabella di ricerca altamente entropica che funge come tabella di sostituzione. L’analisi delle frequenze e il carving dei blocchi ripetuti di otto byte hanno permesso di derivare una chiave XOR fissa che decifra l’overlay, rivelando un PE embedded.
La crittografia utilizzata è coerente con l’implementazione ‘Go crypto/x509’, che è comunemente usata per generare seriali di certificati in un formato simile. L’analisi del reverse engineering ha scoperto una routine di decrittazione personalizzata implementata in percorsi di codice AVX2 e scalari. Il ciclo scalare dimostra l’algoritmo di plaintext semplice, dove la chiave per byte è calcolata come ‘(i*7 – 0x58) & 0xFF’, XORata con il ciphertext per produrre il plaintext per una regione di payload di lunghezza 0x366.
La telemetria di rete dalle prove di sandbox mostra che il loader contatta ‘cdnexpress[.]cc’ e invia dati a un endpoint ‘/analytics’, dove il server risponde con un ‘Bad Request’ coerente con una richiesta di certificato client integrata nel malware per comunicazioni autenticate. I difensori dovrebbero prioritizzare le detection per le catene di exploit che coinvolgono CVE-2025-8088/CVE-2025-6218, monitorare file VBS sospetti scritti per scrivere in Startup tramite percorsi relativi e bloccare o inspezionare il traffico verso cloudaxis[.]cc e cdnexpress[.]cc.
L’attore varia anche i registrar tra i domini, evitando pattern di registrazione ‘all-in-one’. Operativamente, la combinazione di GhostShell di vulnerabilità RAR zero-click/one-click, documenti ingannevoli tailored per la comunità UAV ucraina, persistenza robusta tramite posizionamento nella cartella Startup e payload multi-stage cifrati indica un sforzo focalizzato di raccolta di intelligence piuttosto che crimine di commodity.
Technical Deep Dive
Per gli utenti tecnici e gli analisti di sicurezza, è fondamentale comprendere i dettagli architetturali di questo malware. Il loader VBS utilizza una decodificazione in memoria di un payload Base64, invocato tramite ExecuteGlobal, una tecnica che evita la scrittura di file temporanei sul disco, riducendo l’impronta digitale dell’attacco. Gli eseguibili scaricati, in particolare ‘122.exe’, sono binari PE32+ x86-64 con un overlay cifrato di circa 190 KB. L’overlay contiene un blob cifrato in ‘.rdata’ con un ciphertext ad alta entropia e una tabella di sostituzione. La chiave XOR fissa (d0cd4cb8d4673e28) è derivata dall’analisi delle frequenze dei blocchi ripetuti di otto byte. La crittografia è coerente con l’implementazione ‘Go crypto/x509’, che è comunemente usata per generare seriali di certificati. La routine di decrittazione personalizzata è implementata in percorsi di codice AVX2 e scalari, con il ciclo scalare che dimostra un algoritmo di plaintext semplice. La chiave per byte è calcolata come ‘(i*7 – 0x58) & 0xFF’, XORata con il ciphertext. La telemetria di rete mostra che il loader contatta ‘cdnexpress[.]cc’ e invia dati a un endpoint ‘/analytics’, con una risposta ‘Bad Request’ coerente con una richiesta di certificato client. I difensori dovrebbero monitorare file VBS sospetti scritti per scrivere in Startup tramite percorsi relativi e bloccare il traffico verso cloudaxis[.]cc e cdnexpress[.]cc. L’attore varia anche i registrar tra i domini, evitando pattern di registrazione ‘all-in-one’.
