Una tabella fatta bene: come un file Excel ha (quasi) compromesso un colosso dell’aviazione russa

È bastato un file Excel per mettere a rischio un’azienda strategica del comparto aerospaziale russo. Dietro la banalità di una tabella contabile si nascondeva invece una delle più sofisticate operazioni di cyber-spionaggio degli ultimi mesi. A scoprirla è stato il team di ricerca di SEQRITE Labs, che ha svelato nei dettagli l’operazione “CargoTalon”, mirata a infiltrare le infrastrutture digitali di un importante impianto produttivo nel settore dell’aviazione.

Il punto di partenza è un'e-mail perfettamente camuffata da comunicazione logistica, apparentemente proveniente da un centro di trasporto fittizio, ma stilisticamente coerente con quelle reali in uso nell’industria. Il contenuto includeva un file .eml e un archivio apparentemente ZIP intitolato “Транспортная_накладная_ТТН_№391-44_от_26.06.2025.zip”, che in realtà nascondeva una DLL eseguibile e un file LNK con lo stesso nome. Questo collegamento, una volta attivato, innescava una catena di esecuzione tramite PowerShell, evidenziando da subito un uso mirato di tecniche LOLBins (Living Off the Land Binaries), con script PowerShell progettati per sfruttare strumenti legittimi del sistema operativo.

Il payload vero e proprio, un impianto DLL denominato EAGLET, veniva caricato in memoria e attivava un processo di esfiltrazione e riconoscimento dell’ambiente. Dopo aver generato un GUID unico e raccolto informazioni come nome host e dominio, il malware procedeva a stabilire una persistenza discreta attraverso la creazione di directory come C:/ProgramData/MicrosoftAppStore/. A completare il mimetismo, la comunicazione con il server C2 avveniva tramite chiamate HTTP standard (WinHttpOpen, WinHttpConnect) e intestazioni “User-Agent” apparentemente innocue, simulando ad esempio componenti di Windows.

I dati esfiltrati e le istruzioni venivano trasmesse tramite richieste GET e POST, con encoding in base64, verso un indirizzo IP localizzato in Romania, gestito da MivoCloud SRL (ASN 39798). L’infrastruttura C2 presentava affinità sospette con reti già associate in passato al gruppo TA505, anche se l’attribuzione diretta è al momento priva di riscontri inequivocabili.

L’analisi tecnica ha evidenziato numerose similarità con un’altra famiglia di malware precedentemente osservata: PhantomDL. Entrambi i loader condividono caratteristiche come la capacità di eseguire comandi shell, caricare file aggiuntivi e mascherarsi dietro nomi plausibili come “Contract_RN83_Changes”. Inoltre, in attacchi precedenti, file simili avevano sfruttato documenti denominati “Договор_РН83_изменения.zip” per infettare reti militari russe, con comunicazioni dirette a un altro server C2 (IP 188.127.254.44, ASN 56694).

Il report conclusivo suggerisce che dietro la campagna CargoTalon si celi UNG0901, un’entità che condivide strumenti e metodologia con il gruppo Head Mare, già noto nel panorama della cyber-intelligence per operazioni di lunga durata e alto profilo. Il malware è stato classificato con la sigla “trojan.49644.SL”.

L’elemento di maggiore preoccupazione emerso da questa operazione non è solo la raffinata ingegneria sociale, ma soprattutto la capacità del malware di passare inosservato grazie a un’eccellente imitazione della normalità. Il documento Excel visualizzato all’utente era un file perfettamente coerente con gli standard industriali russi: moduli per il trasporto merci, codici di danneggiamento container, layout conformi alle norme del settore.

Dato che i vettori d’attacco si fanno sempre più ibridi e sottili, il caso CargoTalon conferma che la vera arma non è solo il codice malevolo, ma la narrazione convincente che lo trasporta fino all’interno della rete bersaglio. E se bastano 59 kilobyte di Excel per far tremare un colosso aeronautico, è chiaro che la difesa non può più limitarsi a blocchi statici, ma richiede un’intelligence attiva, aggiornata e capace di riconoscere anche le minacce più camuffate.