Quando un foglio di calcolo diventa il centralino: dentro l'astuzia cloud C2 di SHEETCREEP
Una campagna di intrusione segnalata ha usato le schede di Google Sheets come canale di controllo leggero, mostrando come strumenti SaaS familiari possano essere piegati a infrastrutture malware senza sembrare traffico di comando classico.
Ciò che rende SHEETCREEP inquietante non è solo il malware, ma il travestimento. Si segnala che la campagna abbia usato le schede di Google Sheets come livello nascosto di comando e controllo, con esche di phishing diplomatico che distribuivano un trojan di accesso remoto in C# e telemetria collegata a 91 vittime compromesse. Questa combinazione conta perché trasforma uno strumento di collaborazione di routine in una bacheca operativa viva per un attore.
Fatti rapidi
- SHEETCREEP è il nome della campagna legata al pattern di abuso di Google Sheets.
- Le schede di Google Sheets sono descritte come superficie di controllo per un C2 bidirezionale.
- Un trojan di accesso remoto in C# è segnalato come payload.
- Le esche di phishing diplomatico sono descritte come tema di distribuzione.
- La telemetria associata alla campagna indica 91 vittime.
Come funziona l'abuso
La lettura tecnica di Netcrook è che questa non è solo una storia di fogli di calcolo, ma di abuso dell'identità nel cloud. I servizi web legittimi possono fungere da canali di comando perché il loro traffico appare abbastanza normale da superare un'ispezione superficiale. In questo caso, il dettaglio interessante è la struttura delle schede: un foglio di calcolo può essere usato come archivio di stato per singola vittima, aiutando un operatore a separare i compiti, tracciare le risposte e mantenere organizzata l'attività.
Questo design si allinea strettamente con il pattern Web Service C2 in MITRE ATT&CK. L'attaccante non ha bisogno di infrastrutture esotiche se il malware lato vittima può autenticarsi su una normale applicazione SaaS e scambiare istruzioni attraverso di essa. Dal punto di vista di un difensore, il rischio è che il piano di controllo possa confondersi con l'uso ordinario del cloud, soprattutto quando il modello di accesso assomiglia all'automazione aziendale piuttosto che a un traffico malware evidente.
Anche il payload conta. Un RAT in C# o .NET di solito lascia tracce diverse rispetto al malware basato su script, inclusi artefatti di codice gestito, dipendenze di runtime e comportamenti che possono coinvolgere la gestione di configurazioni cifrate. Il tema del phishing segnalato aggiunge un ulteriore livello di preoccupazione: le esche basate sull'ingegneria sociale restano uno dei modi più affidabili per portare codice malevolo su una macchina prima ancora che venga usato un canale C2 cloud.
Per i difensori, un caso di questo tipo suggerisce la necessità di attività di hunting consapevoli del cloud. Attività insolite dell'API di Google Sheets, comportamenti anomali di service account o modelli di scrittura ripetuti da endpoint che normalmente non automatizzano Workspace possono essere segnali significativi. I controlli di rete contano ancora, ma da soli non bastano quando l'attaccante opera all'interno di un ecosistema SaaS fidato.
Al momento della stesura, i dettagli pubblici supportano più un'analisi del rischio che una ricostruzione completa di ogni percorso della vittima o degli effetti a valle. Anche così, la lezione è chiara: il malware moderno non ha sempre bisogno di un nuovo server. A volte ha solo bisogno di una scheda familiare.
Conclusione
SHEETCREEP ricorda che gli strumenti di produttività cloud fanno ormai parte della superficie di attacco, non solo del flusso di lavoro d'ufficio. La lezione più ampia è semplice: se i difensori osservano solo IP insoliti e porte rumorose, potrebbero perdere una minaccia più silenziosa che vive all'interno di API, identità e documenti fidati.
TECHCROOK
Chiave di sicurezza hardware: Una chiave di sicurezza hardware aggiunge MFA resistente al phishing per account cloud, email e console amministrative. È un piccolo dispositivo USB o NFC che richiede la presenza fisica durante l'accesso, rendendo meno utili le password rubate. Utile per i team che si affidano a Google Workspace, Microsoft 365 o piattaforme SaaS simili.
WIKICROOK
- Command-and-control (C2): Il canale che gli aggressori usano per inviare istruzioni ai sistemi compromessi e ricevere i risultati.
- Remote access trojan (RAT): Malware che concede a un attaccante il controllo remoto occulto di un dispositivo infetto.
- Web Service C2: Una tecnica in cui il malware usa un servizio online legittimo come percorso di comunicazione.
- Google Sheets API: L'interfaccia di programmazione che consente al software di leggere e scrivere dati del foglio di calcolo in modo programmatico.
- .NET malware: Malware costruito sul runtime Microsoft .NET, spesso con artefatti di codice gestito e dipendenze di runtime.




