Un recente allarme nel mondo della cybersecurity riguarda una campagna di phishing che sta colpendo utenti a Taiwan tramite l’utilizzo di malware avanzati come Gh0stCringe e HoldingHands RAT. Questo attacco è stato individuato come parte di una strategia più ampia già in atto da gennaio, quando la stessa organizzazione criminale aveva diffuso il framework malware Winos 4.0 utilizzando email di phishing che si spacciavano per comunicazioni ufficiali del National Taxation Bureau di Taiwan.

Il gruppo Silver Fox APT e le tecniche di attacco

Il gruppo responsabile di questi attacchi, noto come Silver Fox APT, sfrutta email fraudolente che simulano messaggi provenienti da enti governativi o partner commerciali. I messaggi utilizzano esche legate a tematiche fiscali, fatture e pensioni, spingendo le vittime ad aprire allegati malevoli. Spesso questi allegati sono documenti PDF o file ZIP contenenti software legittimo insieme a loader di shellcode e codice cifrato. In alcuni casi, basta cliccare su un’immagine incorporata nell’email per scaricare il malware.

Caratteristiche dei malware Gh0stCringe e HoldingHands RAT

Sia Gh0stCringe che HoldingHands RAT sono varianti di Gh0st RAT, un trojan d’accesso remoto noto per essere ampiamente impiegato da gruppi di hacker cinesi. Queste minacce permettono ai criminali di controllare da remoto i dispositivi infetti, raccogliere informazioni sensibili e installare ulteriori moduli dannosi, tra cui strumenti per la gestione di file e l’accesso remoto al desktop.

Modalità d’infezione e tecniche di evasione

L’infezione avviene tramite una catena multi-stage: il loader di shellcode decripta ed esegue codice malevolo sotto forma di DLL, sfruttando la tecnica del DLL side-loading, che si basa sull’utilizzo di binari legittimi per caricare file dannosi. Durante queste fasi intermedie vengono impiegate anche strategie anti-VM e tecniche di privilege escalation per assicurare che il malware possa agire senza essere bloccato o analizzato su sistemi virtualizzati.

Il payload finale, spesso denominato msgDb.dat, si connette a server di comando e controllo (C2) per trasmettere dati raccolti e scaricare ulteriori componenti. Parte della complessità di questi attacchi risiede nell’uso di numerosi frammenti di shellcode e loader che rendono difficile l’identificazione e la neutralizzazione della minaccia.

Le indagini hanno confermato che Silver Fox APT aggiorna costantemente i propri strumenti e le modalità di distribuzione, rendendo queste campagne di phishing sempre più sofisticate e pericolose per organizzazioni e utenti privati.