CABINETRAT Backdoor
I ricercatori di Infosec hanno pubblicato un avviso su una campagna mirata osservata nel settembre 2025 che installa una backdoor in linguaggio C identificata come CABINETRAT. Secondo il Computer Emergency Response Team of Ukraine (CERT-UA), l'attività è attribuita a un cluster identificato (UAC-0245) dopo che gli analisti hanno scoperto componenti aggiuntivi di Microsoft Excel (file XLL) utilizzati nella catena di attacchi.
Sommario
File ZIP e un falso documento della polizia
Secondo i rapporti, gli aggressori hanno inserito i file XLL dannosi in archivi ZIP e li hanno distribuiti tramite l'app di messaggistica Signal, spacciandoli per documenti relativi alle detenzioni al confine ucraino. Quando una vittima estrae e apre il file XLL, inizia la sequenza di distribuzione.
Cosa crea il contagocce
Sui sistemi compromessi vengono generati diversi file, tra cui:
- un EXE inserito nella cartella di avvio di Windows
- un XLL denominato BasicExcelMath.xll in %APPDATA%\Microsoft\Excel\XLSTART\
- un PNG denominato Office.png che in realtà contiene shellcode incorporato
Questi file vengono creati sull'host come parte della persistenza e dello staging del payload.
Come viene attivato il carico utile
L'XLL impiantato configura le voci del Registro di sistema per garantire l'esecuzione dell'EXE all'avvio, quindi avvia Excel (excel.exe) con l'opzione /e (incorporamento) in modalità nascosta, in modo che il componente aggiuntivo venga caricato silenziosamente. L'XLL caricato estrae lo shellcode nascosto all'interno dell'immagine PNG di accompagnamento; tale shellcode è l'impianto CABINETRAT. Le linee guida di Microsoft sottolineano che i componenti aggiuntivi XLL non attendibili sono comunemente utilizzati in modo improprio dagli autori delle minacce e che le versioni moderne di Excel bloccano gli XLL non attendibili per impostazione predefinita, ma l'ingegneria sociale e l'approvazione dell'utente possono comunque consentirne l'esecuzione.
Anti-analisi e misure sandbox
Sia il caricatore XLL che lo shellcode in memoria eseguono controlli anti-VM e anti-analisi. Tra gli esempi osservati nei campioni figurano la verifica della presenza di almeno due core della CPU, il controllo di almeno ~3 GB di RAM e la ricerca di artefatti di virtualizzazione o analisi (VMware, VirtualBox, Xen, QEMU, Parallels, Hyper-V). Questi controlli hanno lo scopo di interrompere o modificare il comportamento in ambienti di laboratorio/sandbox e ridurre la probabilità di rilevamento.
Le capacità dannose di CABINETRAT
CABINETRAT è una backdoor completa scritta in C. Le sue capacità documentate includono: enumerazione del sistema (informazioni sul sistema operativo e sull'hardware), elencazione delle applicazioni installate, acquisizione di schermate, enumerazione di directory, rimozione di file o cartelle specificati, esecuzione di comandi arbitrari e caricamento/scaricamento di file. Le comunicazioni di rete avvengono tramite un canale TCP verso l'infrastruttura remota di Comando e Controllo (C2), consentendo agli operatori di interagire con gli host infetti.
Campagne simili contro l'Ucraina
Questa rivelazione segue di poco altre campagne altamente mirate contro entità ucraine. I ricercatori hanno recentemente segnalato un'altra operazione di phishing fileless che si è spacciata per la Polizia Nazionale ucraina e ha diffuso payload come Amatera Stealer (furto di dati) e PureMiner (cryptomining), a dimostrazione del fatto che diversi vettori e famiglie di malware vengono utilizzati in parallelo contro organizzazioni nella regione.
Monitorare, Siolate, Rimediare
Data la natura attiva e mirata di questa campagna e le tattiche anti-analisi degli operatori, i difensori dovrebbero presumere che qualsiasi archivio sospetto inviato da Signal contenente componenti aggiuntivi di Office sia potenzialmente dannoso. Dare priorità al contenimento degli host sospetti, raccogliere artefatti volatili (elenchi di processi, memoria, connessioni di rete) e condividere gli indicatori confermati con CERT-UA o il CSIRT locale per contribuire a mappare e interrompere le operazioni dell'autore dell'attacco.
