Malware e Vulnerabilità

VBScript via WhatsApp: documenti aziendali falsi installano ManageEngine RMM in campagna globale con tracce cinesi

Dario Fadda 23 Giugno 2026

Kaspersky ha documentato una campagna malware attiva in 11 Paesi che utilizza WhatsApp come vettore di distribuzione iniziale. Allegati VBScript pesantemente offuscati, camuffati da documenti aziendali, avviano una catena di infezione multi-stadio che termina con l’installazione silenziosa di ManageEngine Endpoint Central — un software RMM legittimo riconfigurato per dare agli attaccanti accesso remoto persistente. L’infrastruttura mostra sovrapposizioni con campagne Gh0st RAT e ValleyRAT, suggerendo con bassa confidenza un operatore di lingua cinese.

WhatsApp come vettore: la scelta tattica

La scelta di WhatsApp come canale di distribuzione è tutt’altro che casuale. A differenza della posta elettronica, WhatsApp non dispone di gateway di sicurezza aziendali, filtri antimalware inline, o sandbox automatici per gli allegati. I file vengono recapitati direttamente al dispositivo della vittima, bypassando la maggior parte delle difese perimetrali tradizionali. Inoltre, i messaggi arrivano da account WhatsApp precedentemente compromessi — non da numeri sconosciuti — il che aumenta notevolmente la probabilità che la vittima apra l’allegato, fidandosi del mittente apparente.

I file vengono distribuiti come archivi ZIP con nomi volutamente credibili in più lingue: “Financial Reports.vbs”, “Account Statement.vbs”, ma anche varianti in portoghese, francese, tedesco e malese, a riflettere la portata geografica dell’operazione.

La catena di infezione: quattro stadi verso il controllo remoto

Una volta che la vittima apre il file VBScript su Windows, si attiva una sequenza di infezione articolata in quattro fasi.

Stage 1 — VBScript offuscato: il file VBS è pesantemente offuscato per eludere il rilevamento statico. All’esecuzione, contatta l’infrastruttura dell’attaccante e scarica due script aggiuntivi.

Stage 2 — UAC bypass: uno degli script scaricati disabilita le protezioni User Account Control (UAC) attraverso modifiche al registro di sistema di Windows, eliminando i prompt di sicurezza per le operazioni successive.

Stage 3 — Download del payload: viene scaricato un archivio ZIP contenente un deployment preconfigurato di ManageEngine Endpoint Central, comprensivo di installer MSI (UEMSAgent.msi), certificati, file di configurazione e script di installazione.

Stage 4 — Installazione silenziosa: il launcher setup1.vbs esegue l’installazione silenziosa dell’agente tramite msiexec.exe. L’agente viene registrato sull’infrastruttura di controllo dell’attaccante, fornendo accesso remoto completo al sistema della vittima: esecuzione di comandi, trasferimento file, accesso alla shell, e molto altro.

--- CATENA DI INFEZIONE ---

[WhatsApp] → ZIP archive
    └── Financial_Reports.vbs (offuscato)
          ├── Stage 2: Download script → UAC bypass via Registry
          │     HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
          │     ConsentPromptBehaviorAdmin = 0 / EnableLUA = 0
          └── Stage 3: Download ZIP (ManageEngine Endpoint Central)
                └── UEMSAgent.msi
                └── setup1.vbs → msiexec.exe /quiet /norestart
                └── Certificati e config preconfigurati
                      └── Registrazione su C2 attaccante

L’abuso degli strumenti RMM legittimi: una tecnica consolidata

L’utilizzo di ManageEngine Endpoint Central come payload finale è una scelta deliberata e strategica. I software RMM legittimi come ManageEngine, AnyDesk, TeamViewer o Atera presentano vantaggi significativi per gli attaccanti: sono firmati digitalmente da vendor riconosciuti, vengono spesso esclusi dalle soluzioni antimalware per evitare falsi positivi operativi, sono difficilmente distinguibili da usi legittimi in ambienti enterprise, e forniscono funzionalità complete di gestione remota. La CISA americana ha già avvertito in passato dell’abuso di strumenti RMM da parte di attori state-sponsored e cybercriminali.

Attribuzione: tracce verso la Cina, confidenza bassa

I ricercatori di Kaspersky hanno identificato sovrapposizioni infrastrutturali con campagne precedenti attribuite a ValleyRAT e Gh0st RAT, due famiglie di malware storicamente associate ad attori di lingua cinese. In particolare, l’indirizzo IP 202.61.160.201 è apparso sia nell’infrastruttura di questa campagna sia in precedenti operazioni Gh0st RAT/ValleyRAT. Nonostante queste sovrapposizioni, Kaspersky mantiene una bassa confidenza nell’attribuzione, in quanto la riutilizzazione di infrastruttura non implica necessariamente la stessa organizzazione — una tecnica che alcune operazioni usano deliberatamente per depistare le attribuzioni.

Distribuzione geografica: Malaysia epicentro, portata globale

Le vittime osservate sono distribuite in 11 Paesi e territori: Malaysia (circa l’80% dei casi), Brasile, India, Messico, Singapore, Regno Unito, Spagna, Taiwan, Australia, Russia e Vietnam. La concentrazione in Malaysia suggerisce che questa possa essere la regione target primaria, con gli altri Paesi colpiti da una distribuzione più opportunistica o da campagne parallele adattate linguisticamente.

Due righe per i difensori

Per mitigare questa minaccia è necessario agire su più livelli. A livello di endpoint, occorre bloccare l’esecuzione di file .VBS, .VBE, .JS e .WSF da parte di utenti non amministratori tramite Group Policy (Software Restriction Policies o AppLocker). È altresì importante monitorare le modifiche alle chiavi di registro relative a UAC (ConsentPromptBehaviorAdmin, EnableLUA) come segnale di compromissione. Sul fronte delle applicazioni, è necessario implementare una whitelist dei software RMM autorizzati e bloccare l’installazione silenziosa di agenti non approvati tramite msiexec. Gli utenti, infine, vanno sensibilizzati a non aprire allegati ricevuti via WhatsApp — specialmente file .ZIP con estensioni .VBS — anche quando provengono da contatti noti, poiché gli account WhatsApp dei mittenti potrebbero essere compromessi.

--- INDICATORI DI COMPROMISSIONE (IoC) ---

IP infrastruttura:
  202.61.160.201  (overlap con Gh0st RAT / ValleyRAT)

File sospetti:
  Financial Reports.vbs
  Account Statement.vbs
  setup1.vbs
  UEMSAgent.msi  (ManageEngine Endpoint Central preconfigurato)

Chiavi di registro modificate (UAC bypass):
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA

Processo sospetto:
  msiexec.exe /quiet /norestart [lanciato da VBScript]

Paesi colpiti: Malaysia (80%), Brasile, India, Messico, Singapore,
               UK, Spagna, Taiwan, Australia, Russia, Vietnam

Fonte: Kaspersky Securelist, giugno 2026

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su VBScript via WhatsApp: documenti aziendali falsi installano ManageEngine RMM in campagna globale con tracce cinesi, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ le newsletter ]]