"Quello riportato di seguito è l'analisi di un incidente informatico sventato in 27 minuti grazie al monitoraggio del SOC: l'antivirus non aveva identificato nulla. L'articolo è molto tecnico, ma credo sia un'interessante lettura per tutti gli appassionati di cybersecurity."
In data 24/06/2026 alle ore 12:31, il nostro SOC ha notificato al cliente la rilevazione di una potenziale esecuzione malevola su una workstastion
La rilevazione è avvenuta a seguito dell'attivazione di un allarme generato dal monitoraggio comportamentale dell'endpoint, che ha evidenziato la creazione di file eseguibili all'interno di directory non comunemente utilizzate per tale tipologia di file. Successivamente, sono state rilevate modifiche al registro di sistema mediante la creazione di chiavi finalizzate all'esecuzione automatica dei suddetti file al riavvio della postazione.
Nello specifico, sono stati osservati i seguenti eventi:

* Rappresentazione delle regole di livello medio – alto sul sistema di monitoraggio per la macchina interessata
CRONOLOGIA EVENTI
A fronte delle evidenze rilevate e dell'analisi del comportamento osservato, sono state eseguite le opportune attività di verifica e approfondimento, nonché le relative azioni di contenimento e mitigazione finalizzate a determinare la natura dell'evento e a ridurne l'eventuale impatto.
L'incidente ha interessato una workstation Microsoft Windows appartenente al dominio aziendale e connessa alla rete interna, regolarmente monitorata dal Security Operations Center (SOC) attraverso il servizio Security 360.

Le attività di analisi hanno consentito di ricostruire la sequenza degli eventi, verificare la presenza di eventuali indicatori di compromissione aggiuntivi e valutare la possibile propagazione dell'attività sospetta verso altri sistemi presenti nell'infrastruttura.
Analisi mail
L'analisi effettuata ha consentito di identificare il vettore iniziale dell'attacco in un messaggio di phishing a tema logistico/spedizione, costruito per impersonare il corriere FedEx.
L'email presentava come oggetto "Shipping Documents - AWB BL and Tracking Information" e come mittente visualizzato "Fed Ex", utilizzando una terminologia e un layout grafico coerenti con le comunicazioni ufficiali del corriere. L'obiettivo della campagna era quello di indurre il destinatario ad aprire l'allegato malevolo sfruttando un contesto operativo plausibile e riducendo il livello di attenzione dell'utente.
L'attacco si configura pertanto come una tipica campagna di social engineering basata su phishing, nella quale l'attore malevolo ha fatto leva sull'urgenza e sulla legittimità apparente della comunicazione per favorire l'esecuzione del contenuto allegato.
A seguito dell'interazione dell'utente con l'allegato, è stata avviata la catena di infezione che ha portato all'esecuzione di codice non autorizzato sulla workstation interessata.
Analisi dell'header del messaggio
L'analisi degli header dell'email ha consentito di ricostruire il percorso di recapito e di identificare diversi indicatori riconducibili a una campagna di phishing.
Il messaggio risulta indirizzato alla casella [email protected] ed è stato recapitato in data 24/06/2026 alle ore 12:16:58.
Il campo From espone l'indirizzo [email protected]. Il dominio courierlocaldelivery.com non presenta alcuna affiliazione con FedEx, il cui dominio ufficiale è fedex.com, ed è stato verosimilmente registrato e configurato appositamente per supportare la campagna malevola.
L'analisi dell'infrastruttura di invio evidenzia come l'indirizzo IP sorgente 172.93.221.138 sia privo di record DNS inverso (RDNS_NONE) e risulti presente all'interno di blacklist reputazionali (ST_RCVD_IN_HOSTKARMA_BL), elementi che costituiscono ulteriori indicatori di rischio associati al messaggio.
Nonostante tali anomalie, i controlli di autenticazione email SPF, DKIM e DMARC risultano tutti superati con esito positivo (pass). Tale comportamento è compatibile con l'utilizzo di un dominio controllato direttamente dall'attaccante, sul quale sono stati correttamente configurati i meccanismi di autenticazione. Questo scenario evidenzia come il superamento dei controlli SPF, DKIM e DMARC non rappresenti di per sé una garanzia di legittimità del mittente, ma esclusivamente della coerenza tecnica tra dominio e infrastruttura di invio.
Il messaggio è transitato attraverso il servizio di filtraggio antispam esterno, che ha assegnato uno score di rischio pari a 2,387 su 5,0, valore non sufficiente a determinarne il blocco o la quarantena. Di conseguenza, l'email è stata regolarmente recapitata alla casella del destinatario, consentendo l'interazione con il contenuto malevolo.
Nel complesso, l'analisi dell'header conferma l'impiego di tecniche di impersonificazione basate su domini look-alike e su una corretta configurazione dei meccanismi di autenticazione email, finalizzate ad aumentare la probabilità di recapito e a ridurre la possibilità di rilevazione da parte dei controlli automatici.
Analisi dell’allegato
L'allegato è stato sottoposto ad analisi tramite Sophos Intelix, il quale ha restituito un esito positivo, e malevolo esclusivamente in fase di verifica a runtime. Un'analisi statica tradizionale basata su firma digitale e hash non produce alcun rilevamento, in quanto il campione è privo di payload binario diretto e non presenta pattern riconoscibili dalle firme convenzionali.
Ciò indica l'utilizzo deliberato di tecniche di evasione statica, rendendo l'allegato non rilevabile da soluzioni antivirus tradizionali prive di capacità di analisi comportamentale.

Aperto il file allegato in sandbox ngsecurity si nota come progettato per operare come dropper multi-stadio. Il codice si presenta heavily offuscato attraverso l'utilizzo di nomi di variabili casuali in lingua danese, commenti non pertinenti distribuiti capillarmente nel codice e costruzione frammentata delle stringhe critiche tramite concatenazione multipla, tecniche volte a rendere l'analisi statica quanto più difficoltosa possibile.

Comportamento osservato:
Assemblaggio dinamico di un payload PowerShell tramite concatenazione multipla di stringhe, contenente funzioni di decodifica su array di byte cifrati XOR con chiave statica [78,101,98,117] ("Nebu")
Utilizzo di oggetti COM nativi (FileSystemObject, Shell.Application, WScript.Shell) per accesso al filesystem e avvio processi
Scrittura del payload PowerShell in %LOCALAPPDATA%\Skaerme
Esecuzione di C:\Windows\Ondsinde.ini tramite explorer.exe
Avvio di PowerShell con script inline che legge ed esegue il contenuto di Skaerme per posizione di carattere
Presenza di firma digitale contraffatta nel corpo del file
Indicatori di compromissione (IOC):
Tipo Valore
File scritto %LOCALAPPDATA%\Skaerme
File eseguito C:\Windows\Ondsinde.ini
File letto %TEMP%\Dispersi
Catena processi wscript.exe → explorer.exe → powershell.exe
Payload nel registro – chiave Resbolige
gc (...'data/local/Skaerme') — viene letto il contenuto del file Skaerme, presente nella directory %APPDATA%\Local\. Il percorso è costruito per concatenazione di stringhe ('/app'+'data/local/...') come ulteriore tecnica di offuscamento.
Il file Skaerme è quasi certamente il file JS o un derivato depositato nella fase di staging precedente (12:18:54).
**`Insubord255=Tippabl[2856]+Tippabl[2857]+Tippabl[2858]`** — vengono estratti i caratteri alle posizioni 2856, 2857 e 2858 del file letto. Questa tecnica, nota come array indexing obfuscation, costruisce dinamicamente un comando (tipicamente iex — Invoke-Expression) estraendolo dal contenuto del file stesso, rendendo il codice non rilevabile tramite analisi statica della sola chiave di registro.
. ($Insubord255) $Tippabl — il comando così costruito viene eseguito tramite dot-sourcing, passando come argomento l'intero contenuto del file. In sostanza, il file Skaerme contiene sia il codice che verrà eseguito sia il meccanismo per invocarlo.
La struttura complessiva della persistenza è quindi a due livelli: la chiave Run (Despotist) funge da loader che richiama Resbolige, il quale a sua volta carica ed esegue il payload reale dal file Skaerme su disco. Questo schema multi-stadio è progettato per frammentare la catena di esecuzione e ostacolare sia il rilevamento automatico che l'analisi manuale.
Analisi del payload PowerShell (Skaerme)
Il file Skaerme, depositato in %APPDATA%\Local\ durante la fase di staging, è uno script PowerShell offuscato che costituisce il secondo stadio della catena di esecuzione. L'offuscamento si basa su due livelli combinati: le stringhe di controllo sono codificate tramite XOR con la chiave Nebu (byte: 78,101,98,117), mentre i payload sono codificati in Base64 e decodificati a runtime tramite la funzione datablad. Il comando finale viene eseguito sempre tramite IEX (Invoke-Expression), ricostruito dinamicamente per eludere il rilevamento basato su pattern statici.
Una volta deoffuscato, il comportamento dello script risulta il seguente:
Configurazione di rete: il protocollo TLS viene forzato a 3072 (TLS 1.2) e viene istanziato un oggetto Net.WebClient con User-Agent impostato a Firefox/150.0, per mascherare il traffico di download come navigazione browser ordinaria.
Download del payload: lo script tenta di scaricare un file (Palmeolie158.deploy) da due URL in sequenza, utilizzando il secondo come fallback in caso di indisponibilità del primo:
https://grandtexx.com/Palmeolie158.deploy
https://sinotradingsinc1.org/Palmeolie158.deploy
Il file viene salvato localmente nel percorso %APPDATA%\Ideersupe.Dup. Lo script verifica l'esistenza del file con Test-Path e attende in loop (con Sleep(4)) finché il download non è completato.
Esecuzione del payload finale: il file scaricato viene letto, decodificato da Base64, convertito in stringa ASCII e infine ne viene estratto un segmento preciso — dall'offset 142870 per 15473 caratteri — che viene eseguito come codice PowerShell tramite IEX. L'uso di un offset fisso all'interno di un file di grandi dimensioni è una tecnica per nascondere il codice malevolo effettivo all'interno di dati apparentemente innocui.
Indicatori di compromissione (IOC):
Tipo Valore
File di supporto %LOCALAPPDATA%\Ideersupe.Dup
Chiave XOR Nebu (78,101,98,117)
Meccanismo esecuzione iex ricostruito dinamicamente a runtime
Pattern Loop persistente con condition check esterno
Domain https://grandtexx.com/Palmeolie158.deploy
Domain https://sinotradingsinc1.org/Palmeolie158.deploy
Persistenza
Al momento 12:18:56 il malware stabilisce la persistenza sul sistema mediante l'aggiunta di una chiave nel registro di Windows, nel percorso dedicato all'avvio automatico dei programmi per l'utente corrente:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Il valore creato si chiama Despotist ed è di tipo REG_EXPAND_SZ. Il comando eseguito per la sua creazione, rilevato dalla regola SOC Ngsecurity "Reg Add RUN Key" (T1547.001), è il seguente:
Il valore decodificato dalla chiave Despotist risulta:
%Angostur% è una variabile d'ambiente personalizzata definita dal malware stesso in una fase precedente, che espande il percorso dell'interprete utilizzato per l'esecuzione. L'uso di una variabile d'ambiente al posto del percorso diretto (powershell.exe) è una tecnica di evasione che rende il comando meno riconoscibile a una ispezione superficiale.
-windowstyle 2 avvia il processo in modalità minimizzata, nascondendolo all'utente.
(.'gp' 'HKCU:\Software\Train\').'Resbolige' è codice PowerShell offuscato che richiama Get-ItemProperty sulla chiave HKCU\Software\Train\ per leggere il valore Resbolige. Questo indica che il payload effettivo — il codice malevolo da eseguire ad ogni avvio — non è scritto su disco ma è conservato nel registro stesso, nella chiave HKCU\Software\Train\, sotto il valore Resbolige. Si tratta di una tecnica fileless volta a rendere più difficile il rilevamento e l'analisi forense.
Analisi di rischio
Privilegio e perimetro di compromissione
L'utente colpito operava con un account di dominio privo di privilegi amministrativi locali. Questo ha costituito un limite strutturale alla capacità offensiva del malware: tutte le operazioni osservate — drop in %APPDATA%, scrittura nel registro HKCU, esecuzione PowerShell in-memory — si sono svolte esclusivamente nel contesto utente, senza escalation di privilegi. Non risultano tentativi di accesso a risorse di sistema protette né movimenti laterali verso altri host della rete.
Stato della persistenza
La chiave di registro Run è stata creata correttamente alle 12:18:56, tuttavia la persistenza non ha prodotto effetti: il sistema è stato disconnesso dalla rete alle 12:58 prima che l'utente effettuasse un nuovo accesso. Il meccanismo di avvio automatico non è quindi mai stato attivato. Al momento dell'isolamento, il payload di secondo stadio (Palmeolie158.deploy) potrebbe non essere stato scaricato completamente o potrebbe non essere stato eseguito — circostanza che sarà verificata tramite analisi in sandbox.
Contenimento e dati a rischio
Non vi è evidenza di esfiltrazione di dati avvenuta nel periodo di attività del malware (12:18 – 12:58). Tuttavia è necessario considerare lo scenario che si sarebbe verificato in caso di riavvio del sistema prima dell'isolamento: la persistenza sarebbe entrata in funzione, il payload finale sarebbe stato scaricato ed eseguito, e il traffico HTTPS in uscita sarebbe transitato senza blocchi. L'infrastruttura firewall del cliente non applica infatti restrizioni alla navigazione HTTPS in uscita, rendendo di fatto possibile sia la comunicazione C2 che l'esfiltrazione di dati verso i domini dell'attaccante (grandtexx.com, sinotradingsinc1.org) senza che il traffico venisse intercettato o bloccato. Il contenimento tempestivo ha quindi evitato uno scenario di compromissione significativamente più grave.
Vettore e superficie esposta
Il vettore di ingresso è stato esclusivamente email. Non sono stati rilevati indicatori di compromissione su altri endpoint né accessi anomali a risorse condivise di dominio. Il rischio residuo è circoscritto alla macchina isolata, in attesa di conferma dall'analisi forense.
Conclusione
Le attività di risposta all'incidente si sono concluse con l'isolamento della workstation compromessa alle ore 12:58 del 24/06/2026, a seguito delle evidenze raccolte durante le fasi di analisi e validazione dell'evento.
L'azione di contenimento è stata eseguita entro 27 minuti dalla rilevazione iniziale, limitando significativamente la finestra temporale di esposizione e riducendo il rischio di ulteriori attività malevole o di eventuali movimenti laterali all'interno dell'infrastruttura aziendale.
Si evidenzia inoltre che l'intervento è stato effettuato in una fascia oraria coincidente con la pausa pranzo del personale del cliente, circostanza che ha consentito al Security Operations Center di adottare tempestivamente le necessarie misure di contenimento minimizzando l'impatto operativo sugli utenti e garantendo una rapida messa in sicurezza del sistema interessato.
L'analisi tecnica condotta dal team NGSecurity ha permesso di ricostruire l'intera catena di compromissione, dalla ricezione dell'email di phishing fino all'installazione della persistenza, senza che il payload finale venisse mai eseguito.
Con verosimile certezza si può affermare che il malware, al momento dell'isolamento, si trovava in stato di attesa di connessione verso i server C2 identificati (grandtexx.com, sinotradingsinc1.org). Non risulta che tale connessione si sia mai stabilita: nessuna evidenza di traffico verso tali domini è stata rilevata nel periodo di attività del sistema, e l'analisi in ambiente sandbox condotta da NGSecurity ha confermato il comportamento atteso del loader — in assenza di connettività verso i C2, il terzo stadio rimane in polling indefinito senza procedere all'esecuzione del payload di stadio successivo.
La persistenza installata tramite chiave di registro (HKCU\...\Run, valore Despotist) non è mai stata attivata, in quanto il sistema non ha subito riavvii nel periodo intercorso tra l'infezione e l'isolamento. Analogamente, la seconda chiave di persistenza rilevata in sandbox (HKCU\...\RunOnce\ctfmon.exe), scritta da userinit.exe in un momento successivo dell'esecuzione, non ha avuto modo di attivarsi sull'endpoint reale.
Non risultano compromissioni di altre componenti dell'infrastruttura. L'endpoint infetto era operato da un account di dominio privo di privilegi amministrativi locali, circostanza che ha limitato il perimetro di azione del malware al profilo utente. Non sono state rilevate evidenze di movimento laterale, accesso a risorse condivise o comunicazioni anomale verso altri sistemi della rete nel periodo di attività.
L'endpoint è da considerarsi compromesso e non deve essere reintrodotto in rete. Si raccomanda la formattazione completa del sistema e la reinstallazione da immagine pulita prima di qualsiasi eventuale redeployment. Le credenziali dell'utente coinvolto devono essere considerate potenzialmente esposte e reimpostate.
Raccomandazioni
Endpoint compromesso
Si raccomanda la formattazione completa della workstation compromessa e la reinstallazione del sistema da un'immagine pulita e verificata prima della sua reintroduzione in produzione. È inoltre necessario procedere all'immediato reset delle credenziali dell'utente coinvolto. Prima del redeployment, dovrà essere verificata l'integrità del profilo utente di dominio, controllando eventuali modifiche anomale a gruppi di appartenenza, permessi delegati e sessioni attive. Tali attività sono necessarie per garantire il ripristino in condizioni di sicurezza.
Formazione utenti
L'infezione ha avuto origine dall'apertura di un allegato ZIP contenente un file JavaScript da parte di un utente. Questo vettore è prevenibile attraverso una formazione adeguata. Si raccomanda di pianificare sessioni periodiche di security awareness che includano:
riconoscimento delle email di phishing (mittenti contraffatti, urgenza artificiale, allegati non attesi)
consapevolezza sui rischi legati all'esecuzione di file JavaScript, macro Office e altri formati potenzialmente pericolosi
procedura chiara da seguire in caso di sospetto (segnalazione al SOC senza aprire il file)
È inoltre consigliabile valutare l'esecuzione di campagne di phishing simulato periodiche per misurare il livello di attenzione degli utenti nel tempo.
Hardening endpoint
Come ulteriore misura di rafforzamento della postura di sicurezza, si raccomanda di valutare l'implementazione di controlli preventivi sugli endpoint, quali
il blocco dell'esecuzione di file JavaScript tramite Windows Script Host (wscript.exe, cscript.exe) per gli utenti standard, tramite GPO o AppLocker
la limitazione o il monitoraggio della creazione di variabili d'ambiente personalizzate a livello utente, o il monitoraggio delle stesse tramite regole SIEM
l'abilitazione della modalità PowerShell Constrained Language Mode per gli utenti non amministratori, al fine di ridurre la superficie di attacco e mitigare tecniche comunemente utilizzate da malware e attori malevoli.
Remediation attuate
Le seguenti azioni di remediation sono state intraprese o sono in corso a seguito dell'incidente.
Disconnessione endpoint dalla rete
L'endpoint è stato isolato impedendo qualsiasi ulteriore comunicazione verso i C2 identificati.
Eseguita il 24/06/2026 alle 12:58
Blocco dominio mittente lato antispam
Il dominio courierlocaldelivery.com è stato bloccato a livello antispam a seguito dell'incidente, per prevenire ulteriori tentativi di phishing con lo stesso vettore.
Eseguita il 24/06/2026
Aggiunta IOC al monitoraggio SOC
Gli IOC specifici dell'incidente sono stati inseriti nelle blacklist operative del SOC, includendo i domini C2, i pattern di compromissione e gli hash dei file malevoli.
Eseguita il 25/06/2026
Reset password account di dominio
Il reset della password dell'account di dominio dell'utente coinvolto è in carico all'IT cliente e deve essere completato con priorità alta. Sebbene non vi siano evidenze concrete di esfiltrazione delle credenziali, la natura del malware analizzato non consente di escludere completamente che informazioni sensibili siano state accessibili nel periodo di attività.
⏳ Da completare
Analisi condotta da NGSecurity — Divisione SOC