Lunedi 06 Luglio 2026 01:43:17 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

Firmato, Sigillato, Infiltrato: come gli hacker hanno dirottato strumenti Microsoft per violare le banche indiane

Pubblicato: 22 Aprile 2026 09:03Categoria: Cyber Warfare & Nation-State OperationsArea: AsiaAutore: AGONY

Sottotitolo: Un gruppo di spionaggio legato alla Cina sta usando software affidabile firmato da Microsoft per distribuire una backdoor furtiva che prende di mira il settore finanziario indiano.

Immagina questo: nella casella di posta di una banca indiana arriva un normale ticket di supporto IT. Sembra legittimo, persino urgente. Ma quando un dipendente apre il file allegato, invita inconsapevolmente una sofisticata backdoor-camuffata da programma Microsoft affidabile-direttamente nella rete aziendale. Non è solo un’ipotesi. È il copione di una campagna di cyber spionaggio scoperta di recente, e sta riscrivendo le regole della fiducia digitale e dell’inganno nel settore bancario indiano.

Fatti rapidi

  • Gli attaccanti stanno abusando di un binario firmato da Microsoft per distribuire la backdoor LOTUSLITE v1.1 nelle banche indiane.
  • L’operazione è collegata con moderata confidenza al gruppo di spionaggio Mustang Panda, con base in Cina.
  • La catena d’attacco inizia con email di spear-phishing camuffate da ticket di supporto IT che utilizzano file CHM.
  • Il sideloading di DLL consente al malware di eseguirsi sotto la copertura di una firma Microsoft affidabile.
  • La codebase di LOTUSLITE ora fa riferimento specifico a istituti finanziari indiani ed elude il rilevamento statico.

Dentro l’attacco: dalla posta in arrivo all’intrusione

La campagna, individuata per la prima volta dall’Acronis Threat Research Unit, segna una svolta strategica per l’attore di minaccia noto come Mustang Panda. In precedenza concentrato su obiettivi del governo statunitense, il gruppo ora punta al settore finanziario indiano, distribuendo una versione aggiornata del proprio malware LOTUSLITE.

L’attacco inizia con un’email di spear-phishing costruita per imitare l’helpdesk IT di una banca-completa di un file Compiled HTML (CHM) apparentemente innocuo. Una volta aperto, questo file attiva un pop-up malevolo ma, cosa più importante, esegue codice nascosto che scarica un loader JavaScript da un sito web compromesso.

È qui che comincia la vera sotterfugio: il JavaScript orchestra l’estrazione di un eseguibile autentico firmato da Microsoft, Microsoft_DNX.exe, insieme alla DLL malevola dell’attaccante. Sfruttando una tecnica chiamata sideloading di DLL, il malware viene eseguito all’interno del processo Microsoft considerato affidabile, aggirando la maggior parte degli allarmi di sicurezza.

La backdoor LOTUSLITE v1.1 è progettata per furtività e persistenza. Le sue comunicazioni vengono incanalate su HTTPS cifrato verso un server di DNS dinamico, rendendo difficile il rilevamento a livello di rete. Il codice interno del malware ora fa esplicito riferimento a istituti bancari indiani, con funzioni denominate come banche reali quali HDFC Bank, segno di un’accurata personalizzazione per i suoi bersagli.

Eppure, nonostante tutta la loro abilità tecnica, gli attaccanti hanno lasciato sottili impronte. Codice legacy che rimanda a campagne precedenti-come l’export “KugouMain” di un precedente schema di sideloading-è rimasto incorporato. Hanno persino provocato i ricercatori con messaggi pop-up che citavano chi stava tracciando il loro lavoro, un raro scorcio delle personalità dietro il codice.

La campagna non si ferma all’India. Varianti simili di LOTUSLITE sono emerse in attacchi contro ambienti politici in Corea e negli Stati Uniti, spesso usando esche a tema diplomatico ma riciclando gran parte della stessa infrastruttura tecnica e del codice malware.

Conclusione: fiducia, sovvertita

La campagna LOTUSLITE è un duro promemoria del fatto che persino il software più affidabile può diventare un’arma nelle mani di attaccanti determinati. Facendo leva sulla firma digitale di Microsoft, gli operatori di Mustang Panda hanno trovato un modo efficace per scivolare oltre le difese-dimostrando che, nella cybersecurity, la fiducia è sempre condizionata. Per le banche indiane e non solo, la vigilanza deve estendersi oltre ciò che è sconosciuto fino agli stessi strumenti e processi un tempo considerati sicuri.

TECHCROOK

Acronis Cyber Protect è una piattaforma integrata pensata per ridurre il rischio di infezioni via email e allegati (come file CHM) e per intercettare tecniche evasive come il DLL sideloading, dove un eseguibile legittimo viene sfruttato per caricare componenti malevoli. Combina protezione endpoint con analisi comportamentale, anti-malware/anti-ransomware, controllo delle applicazioni e funzioni di risposta agli incidenti, utili quando il traffico di comando e controllo passa su HTTPS cifrato. Include anche backup e ripristino per limitare l’impatto operativo in caso di compromissione e supporta la gestione centralizzata di più postazioni in ambienti aziendali. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Sideloading di DLL: Il sideloading di DLL avviene quando gli attaccanti ingannano programmi affidabili inducendoli a caricare file di supporto malevoli (DLL) al posto di quelli legittimi, consentendo attacchi nascosti.
  • Backdoor: Una backdoor è un modo nascosto per accedere a un computer o a un server, aggirando i normali controlli di sicurezza, spesso usato dagli attaccanti per ottenere un controllo segreto.
  • DNS dinamico: Il DNS dinamico aggiorna i record di dominio con IP variabili, aiutando gli attaccanti a nascondere i server modificando frequentemente le loro posizioni di rete.
  • Spear: Lo spear phishing è un attacco informatico mirato che usa email personalizzate per ingannare specifiche persone o organizzazioni e indurle a rivelare informazioni sensibili.
  • File CHM: Un file CHM è un formato di file di guida di Windows che può essere sfruttato dagli attaccanti per distribuire malware tramite script o oggetti incorporati.