Negli ultimi tempi la sicurezza informatica è stata messa a dura prova da una nuova campagna di social engineering che prende di mira le aziende della filiera produttiva statunitense tramite un malware denominato MixShell. Questa attività, identificata con il nome in codice ZipLine, si distingue per un approccio innovativo rispetto ai classici attacchi di phishing. Gli attaccanti non inviano semplicemente email ingannevoli, ma sfruttano i moduli di contatto pubblici presenti nei siti aziendali per avviare un dialogo diretto con i dipendenti, instaurando così un rapporto di fiducia che si sviluppa anche per settimane.

Durante questa fase, i cybercriminali simulano scambi professionali credibili, spesso includendo falsi accordi di non divulgazione (NDA), per poi inviare un file ZIP infetto che contiene MixShell. Questo malware agisce in memoria, rendendo più difficile la sua individuazione e rimozione. I bersagli del gruppo ZipLine sono organizzazioni statunitensi attive nella produzione industriale, come aziende di macchinari, componentistica, sistemi ingegnerizzati, hardware, semiconduttori, beni di consumo, biotecnologie e farmaceutica. Tuttavia, anche realtà di Singapore, Giappone e Svizzera sono state colpite.

La campagna suggerisce una ricerca mirata verso settori vitali per la supply chain globale. Gli indizi raccolti dagli analisti fanno pensare a un collegamento tra le infrastrutture utilizzate per ZipLine e quelle già associate ad altre campagne malware come TransferLoader, attribuite al gruppo di minaccia UNK_GreenSec. Un elemento che rende questa minaccia particolarmente insidiosa è la capacità dei criminali di sfruttare processi aziendali legittimi, aggirando le tradizionali difese basate su email sospette.

Una delle peculiarità di ZipLine è l’assenza di pressioni psicologiche, come linguaggio allarmistico o richieste urgenti. Il processo di attacco è paziente e sofisticato, con l’obiettivo di ottenere la massima fiducia prima di consegnare l’archivio ZIP dannoso. Recentemente, le campagne di social engineering hanno anche sfruttato l’interesse per l’intelligenza artificiale, proponendo supporto nell’implementazione di soluzioni AI per l’efficienza aziendale.

Dal punto di vista tecnico

MixShell viene distribuito tramite un file LNK che attiva uno script PowerShell. Questo, a sua volta, installa il malware capace di comunicare tramite DNS tunneling e HTTP, eseguire comandi remoti, operazioni su file, mantenere la persistenza e agire come proxy. Gli archivi infetti sono spesso ospitati su sottodomini di servizi legittimi come herokuapp.com, sfruttando così infrastrutture affidabili per eludere i controlli.

Questa campagna rappresenta una seria minaccia per le aziende, potenzialmente causa di furti di proprietà intellettuale, attacchi ransomware, compromissione degli account e disservizi lungo tutta la catena di approvvigionamento.