Un backdoor scritto in Go, un catalogo di tool integrati con precisione chirurgica e un bersaglio che non lascia dubbi sulle intenzioni: enti governativi e diplomatici del Sud-Est asiatico. Il gruppo GReAT di Kaspersky ha appena pubblicato l’analisi di una campagna di cyberspionaggio che si distingue non tanto per la novità delle tecniche, quanto per la disciplina operativa con cui sono state orchestrate: raccolta dati silenziosa per settimane, poi un secondo strumento, mesi dopo, che arriva a prelevare esattamente ciò che il primo aveva già impacchettato e nascosto.
Una campagna che dura da anni, ma si è affinata nel 2026
Il ricercatore Noushin Shabab di Kaspersky racconta di aver individuato, a febbraio 2026, un insieme di attività malevole in corso almeno dalla fine del 2025 contro enti governativi e diplomatici del Sud-Est asiatico. Al centro dell’operazione c’è GoSerpent, un RAT scritto in Go con capacità di proxying, in circolazione — in versioni via via più semplici — almeno dal 2021. È la firma di un attore che non si limita a colpire e sparire, ma torna, aggiorna il proprio arsenale e lo integra in una catena di attacco sempre più coerente.
Il dettaglio più interessante non è il singolo malware, ma l’architettura in due fasi con cui il gruppo ha condotto l’operazione più recente. Nella prima fase, tra la fine del 2025 e i primi mesi del 2026, gli attaccanti hanno usato GoSerpent per distribuire strumenti di raccolta dati e furto di credenziali, lasciandoli lavorare in silenzio per settimane. Solo a maggio 2026 sono tornati con un secondo set di strumenti — Stowaway e la coppia TmcLoader/TmcPayload — dedicato esclusivamente all’esfiltrazione di ciò che era stato accumulato nei mesi precedenti.
Come funziona GoSerpent
GoSerpent riceve argomenti a riga di comando cifrati e codificati in base64, contenenti l’indirizzo del server C2 e una password di comunicazione. La decifratura avviene in AES-CBC con IV fisso, mentre le comunicazioni verso il C2 sono protette con ChaCha20, usando come chiave l’hash SHA256 della password stessa. Il backdoor supporta un set di comandi identificati da codici esadecimali (ad esempio 9BA8 per avviare un proxy SOCKS5, 6BA5 per aprire una shell remota, 7BA6/8BA7 per upload e download di file) e può incatenare più nodi compromessi in una catena di proxy, mascherando l’origine reale del traffico.
Accanto a GoSerpent, gli analisti hanno trovato McMx, una variante più semplice dello stesso strumento — probabilmente compilata da un repository GitHub diverso — che riceve i parametri da file di testo in chiaro invece che da argomenti cifrati. La configurazione viene generata tramite file batch manipolati con comandi echo, una tecnica rudimentale ma efficace per evitare di lasciare tracce dirette nei parametri di esecuzione.
Raccolta dati e furto di credenziali
Il vero motore della raccolta dati è ThumbcacheService, una DLL malevola registrata come servizio Windows. Usa una XOR a singolo byte (0x13) per offuscare le stringhe e crea un database, thumbcache_605a.db, nella cartella C:\Users\Public\, dove archivia documenti con estensione .doc, .docx, .pdf, .xls e .xlsx — compresi quelli cancellati e ancora presenti nel Cestino. I file raccolti vengono compressi con 7-Zip, protetti da una password fissa e limitati a 20MB per archivio, evidentemente per restare sotto la soglia di allerta di eventuali sistemi di monitoraggio del traffico.
In parallelo, GoSerpent distribuisce Mimikatz per il dump della memoria LSASS e QuarksDumpLocalHash per l’estrazione degli hash delle password locali dalla SAM, garantendo agli attaccanti le credenziali necessarie per il passaggio successivo: l’esfiltrazione via share di rete.
La seconda fase: Stowaway e TmcLoader
A maggio 2026 il gruppo è tornato con Stowaway, un tool di proxy e accesso remoto basato su un framework open source personalizzato, capace di tunneling SSH, proxy SOCKS5, reverse tunneling e comunicazioni su TCP, HTTP o WebSocket cifrate con AES-256-GCM o TLS. Stowaway consegna alla macchina compromessa due file: TmcLoader, con un payload incorporato, e un file di configurazione cifrato.
TmcLoader è un loader in C++ registrato come servizio Windows che decifra ed esegue TmcPayload direttamente nello spazio di memoria del processo svchost.exe, per persistenza e occultamento. Usa risoluzione dinamica delle API tramite XOR circolare combinata con Base64 per nascondere i nomi delle funzioni chiamate. TmcPayload, una volta attivo, cerca il file di configurazione in C:\Users\Public\Libraries\, legge le credenziali di rete cifrate al suo interno e trasferisce — via share condivisa — esattamente il database thumbcache_605a.db creato da ThumbcacheService mesi prima. È questa integrazione a orario differito, tra raccolta ed esfiltrazione, il tratto distintivo dell’intera operazione.
Infrastruttura e possibile attribuzione
Gli operatori si appoggiano a provider di hosting legittimi, tra cui Alibaba Cloud e UCLOUD HK, per il proprio C2 — una scelta che complica il rilevamento basato su reputazione IP. Curiosamente, sia GoSerpent sia Stowaway usano nomi di dominio legittimi come “chiavi segrete” operative: www.microsoft.com e www.spacex.com per il primo, github.code per il secondo — un dettaglio che suggerisce una metodologia operativa standardizzata all’interno del gruppo.
Kaspersky non attribuisce con certezza la campagna, ma segnala somiglianze nel targeting, nelle capacità tecniche e nella metodologia operativa con TetrisPhantom, un threat actor già noto per operazioni contro entità governative nella regione. Il collegamento resta da confermare con ulteriori indagini.
Due righe per i difensori
Per i team di sicurezza di enti governativi e diplomatici, GoSerpent è un promemoria di quanto sia difficile distinguere la raccolta silenziosa dall’esfiltrazione quando i due momenti sono separati da settimane o mesi. Alcune raccomandazioni pratiche:
- Monitorare la creazione di file .db anomali in
C:\Users\Public\e sottocartelle, specialmente se seguiti da compressione 7-Zip con password. - Allertare su servizi Windows di nuova registrazione con nomi che imitano processi di sistema (es. varianti di “lsass.exe” o “updates.exe”).
- Monitorare l’injection di codice nello spazio di memoria di
svchost.exee l’uso non autorizzato di condivisioni di rete per trasferimenti di dati verso host esterni. - Bloccare o ispezionare traffico SOCKS5 non autorizzato originato da endpoint interni.
- Cercare l’uso di Mimikatz e QuarksDumpLocalHash nei log EDR, anche in assenza di alert di esecuzione diretta.
Indicatori di compromissione
File hashes (formato originale Kaspersky)
GoSerpent: EBFFD5A76AAA690BCDB922F82E0BACC, 5DC506FF7BB72735444FB3703A6BEE6D8
McMx: D6E86BF8A90E9B632ADD5FA495F97FBC
ThumbcacheService: CB6C4C70A3B171FA3404B8E1A338211, 664E9D1950E42BC98486DFD9919463D1C
Stowaway: CBBB6D483737EA3566726E51752DFF40, 7F223EE0716CE2AD56F55D3744419449, 19F8BEFCB035F52BF70094E6B4F5779A, 846EF7C1C7323849B2A778C5E4CDA162
TmcLoader: D08A059E8B815E3B891505BC8777FC28, 93A1569D5D5AB2C4761FEDF84F83709E
C2 IP addresses:
152.32.160[.]239
8.220.194[.]108
8.220.214[.]132
8.220.209[.]155
8.220.193[.]189
101.36.104[.]87
144.48.6[.]46
103.138.13[.]30
47.80.22[.]58
152.32.222[.]113
43.106.30[.]226
File/servizi correlati:
C:\Users\Public\thumbcache_605a.db
C:\Users\Public\Libraries\{BBF061R2-BE25-4F6D-8B2D-1A6A39C3FSA2}.db
Fonte primaria: Kaspersky GReAT — Securelist.