Preventivo sconto multi-licenza
Database delle minacce Malware Malware XDigo

Malware XDigo

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto una nuova campagna di spionaggio informatico che coinvolge un malware stealer basato su Go, denominato XDigo, che è stato implementato nel marzo 2025 contro organizzazioni governative dell'Europa orientale. Il malware è collegato al gruppo di attori di minacce persistenti XDSpy, attivo nella regione almeno dal 2011.

Il ritorno di XDSpy: un decennio di sorveglianza

XDSpy è un gruppo di spionaggio informatico ben documentato, noto per aver preso di mira agenzie governative in tutta l'Europa orientale e nei Balcani. Analizzato pubblicamente per la prima volta nel 2020, XDSpy ha mantenuto un andamento costante, evolvendo nel corso degli anni il suo kit di strumenti e il suo raggio d'azione.

Le recenti campagne attribuite al gruppo hanno colpito organizzazioni in Russia e Moldavia, distribuendo famiglie di malware come UTask, XDDown e DSDownloader, strumenti progettati per scaricare payload aggiuntivi e sottrarre dati sensibili dai sistemi infetti.

Exploit LNK: il pericolo nascosto dietro le scorciatoie di Windows

La campagna XDigo impiega una catena di attacco in più fasi che inizia con i file di collegamento di Windows (.LNK), sfruttando una vulnerabilità di esecuzione di codice remoto in Microsoft Windows, identificata come ZDI-CAN-25373, divulgata pubblicamente nel marzo 2025.

Questa vulnerabilità deriva dalla gestione impropria di file LNK appositamente creati, che consentono ai contenuti dannosi di rimanere invisibili nell'interfaccia utente, pur continuando a eseguire codice nel contesto dell'utente corrente. Ulteriori analisi hanno rivelato un sottoinsieme di nove di questi file LNK, sfruttando una falla di confusione di analisi causata dall'implementazione parziale da parte di Microsoft della specifica MS-SHLLINK (v8.0).

Confusione nell’analisi: specifiche vs. implementazione

La specifica MS-SHLLINK consente stringhe con una lunghezza massima di 65.535 caratteri, ma Windows 11 limita il contenuto effettivo a 259 caratteri, con l'eccezione degli argomenti della riga di comando. Questa discrepanza introduce incongruenze nell'interpretazione dei file LNK sulle diverse piattaforme.

Gli aggressori sfruttano questa lacuna creando file LNK che appaiono validi o non validi a seconda del parser, consentendo:

  • Esecuzione di comandi inaspettati o nascosti
  • Elusione del rilevamento da parte dell'interfaccia utente di Windows e degli strumenti di analisi di terze parti

Combinando questo con tecniche di riempimento con spazi vuoti, gli avversari oscurano in modo efficace il vero intento della scorciatoia, aumentando le probabilità di esecuzione riuscita senza allertare gli utenti o gli strumenti di sicurezza.

Catena di infezione: archivi ZIP, esche e caricamento laterale di DLL

I nove file LNK dannosi identificati sono stati distribuiti in archivi ZIP, ognuno contenente un altro archivio ZIP che includeva:

  • Un documento PDF esca
  • Un eseguibile legittimo rinominato
  • Una DLL dannosa caricata lateralmente dal binario

Questa DLL, denominata ETDownloader, funge da payload di primo stadio progettato per scaricare l'impianto principale: XDigo.

XDigo: un ladro di dati raffinato

XDigo è un malware basato su Go che si ritiene essere un'evoluzione di UsrRunVGA.exe, precedentemente documentato nell'ottobre 2023. È in grado di:

  • Raccogli i file locali.
  • Cattura il contenuto degli appunti.
  • Fai degli screenshot.
  • Esegue comandi o file binari recuperati da un server remoto tramite HTTP GET.
  • Esfiltrare dati rubati tramite richieste HTTP POST.

Questa funzionalità conferma il ruolo di XDigo come strumento di spionaggio progettato per raccogliere informazioni in modo furtivo.

Profilo del bersaglio e coerenza tattica

Gli investigatori hanno confermato almeno un obiettivo nella regione di Minsk, con ulteriori indizi che indicano operazioni contro gruppi di vendita al dettaglio russi, istituti finanziari, compagnie assicurative e servizi postali governativi. Questa vittimologia è strettamente in linea con l'attenzione storica di XDSpy, in particolare per l'Europa orientale e la Bielorussia.

Tecniche di evasione e sofisticatezza tattica

XDSpy ha dimostrato una solida capacità di eludere le difese moderne. In particolare, il suo malware è stato il primo a tentare di eludere una specifica soluzione sandbox, a dimostrazione di un elevato grado di personalizzazione e adattabilità in risposta all'evoluzione degli scenari di sicurezza.

Riepilogo: punti chiave

La campagna XDigo mette in mostra una sofisticata combinazione di tecniche e strategie di targeting. Ha coinvolto lo sfruttamento di una vulnerabilità di Windows identificata come ZDI-CAN-25373 tramite file LNK appositamente creati, oltre alla manipolazione di incongruenze nel parsing LNK per nascondere attività dannose. Gli aggressori si sono anche affidati al sideload di DLL, utilizzando eseguibili legittimi rinominati per caricare componenti non autorizzati. La comunicazione con l'infrastruttura di comando e controllo e l'esfiltrazione dei dati rubati sono state condotte tramite protocolli HTTP standard, consentendo furtività ed elusione.

In termini di targeting, la campagna si è concentrata principalmente su enti governativi, in particolare in Bielorussia e Russia. Ha inoltre esteso la sua portata ai settori finanziario e della vendita al dettaglio, nonché alle grandi compagnie assicurative e ai servizi postali nazionali. Questa operazione sottolinea la persistente innovazione degli attori di minaccia allineati con gli stati e rafforza la necessità critica di esaminare attentamente anche tipi di file apparentemente innocui, come i file LNK, alla ricerca di minacce nascoste.

Tendenza

I più visti

Caricamento in corso...