Kaspersky ha rilevato una nuova campagna di attacchi denominata StrikeShark, attiva in almeno 10 paesi, che utilizza un malware loader precedentemente sconosciuto: SharkLoader. Il componente sfrutta una tecnica di DLL side-loading per eseguire codice malevolo bypassando il Windows Loader Lock, meccanismo di protezione del sistema operativo. La scoperta evidenzia come ricerca di sicurezza pubblicata nel 2023 sia stata riadattata per scopi offensivi.
- SharkLoader è un malware loader precedentemente sconosciuto, identificato da Kaspersky durante l'analisi di un attacco a un'organizzazione diplomatica in Indonesia
- La campagna StrikeShark ha colpito organizzazioni in almeno 10 paesi: Indonesia, Taiwan, Hong Kong, Libano, Siria, Colombia, Macedonia del Nord, Nepal, Serbia e altri
- Il loader implementa la tecnica del "Perfect DLL Hijacking", descritta dal ricercatore Elliot Killick nell'ottobre 2023, per eseguire codice nel contesto di DllMain bypassando le restrizioni del Windows Loader Lock
- I vettori di accesso iniziale combinano exploit di vulnerabilità note con codice PoC pubblicamente disponibile e dropper mascherati da installer legittimi
Come funziona la catena di caricamento di SharkLoader
SharkLoader implementa una catena multi-stadio che inizia con DLL side-loading: un'applicazione Windows legittima, SystemSettings.exe, carica una DLL malevola denominata SystemSettings.dll. Il punto tecnico risiede nell'uso del "Perfect DLL Hijacking", tecnica che consente di eseguire codice nel contesto di DllMain senza incorrere nelle restrizioni normalmente imposte dal Loader Lock di Windows.
Il Loader Lock è un meccanismo interno del sistema operativo che sincronizza le operazioni di caricamento delle DLL, impedendo operazioni pericolose durante l'inizializzazione. Bypassarlo consente di eseguire codice arbitrario in una fase critica del processo di caricamento.
Dopo il superamento del Loader Lock, SharkLoader decrittografa e carica DscCoreR.mui, modulo che contiene il payload finale: Cobalt Strike Beacon. L'esecuzione avviene in un thread sospeso, con hook API installati tramite Microsoft Detours e MinHook per monitorare VirtualAlloc e Sleep. Questa architettura consente di copiare il Beacon in memoria e sospenderne l'esecuzione durante le scansioni, riprendendo solo con ResumeThread. Secondo Kaspersky, "Finally, after the API hooks are installed and the Cobalt Strike Beacon shellcode has been written to the thread buffer, the malware calls the ResumeThread API to resume the suspended thread and begin execution of the beacon".
Vettori di attacco: exploit pubblici e ingegneria sociale mirata
Gli operatori di StrikeShark hanno utilizzato due pathway principali per l'accesso iniziale. Il primo sfrutta vulnerabilità in applicazioni enterprise esposte a Internet, tra cui Exchange Server, Openfire, GeoServer, SharePoint, Fortinet, Cisco, F5, Zimbra, Apache Shiro e Hikvision. Le vulnerabilità specifiche identificate includono CVE-2021-26855 (ProxyLogon), CVE-2021-27076, CVE-2023-32315 (Openfire), CVE-2024-36401 (GeoServer) e CVE-2022-41082 (ProxyNotShell). Kaspersky ha verificato che tutte queste vulnerabilità dispongono di codice PoC pubblicamente disponibile, incluso su GitHub, e valuta con "medium confidence" che gli attaccanti si affidino principalmente a exploit PoC pubblici.
Il secondo vettore impiega dropper custom mascherati da installer legittimi: Google Update, Cisco AnyConnect VPN installer. All'interno dei campioni analizzati, Kaspersky ha estratto decoy PDF con temi tecnici specifici: documenti su "liquid rocket engine design" e "biological treatment process", prodotti da consulenti ingegneristici. Questo livello di personalizzazione indica attenzione alla plausibilità del contenuto per indurre l'esecuzione.
"The observed victimology suggests a campaign with broad geographic reach and a diverse target set rather than a narrow focus on a specific industry or region" — Kaspersky
Target e geografia: un'operazione opportunistica
La distribuzione geografica della campagna copre almeno 10 paesi: Indonesia, Taiwan, Hong Kong, Libano, Siria, Colombia, Macedonia del Nord, Nepal, Serbia e altri non specificati. Il primo rilevamento documentato da Kaspersky riguarda un'organizzazione diplomatica in Indonesia. I target includono entità governative, diplomatiche e aziende di sviluppo software, con settori vari che indicano approccio opportunistico piuttosto che focalizzato.
La persistenza viene mantenuta tramite Registry Run keys e scheduled tasks per attivare SystemSettings.exe.
L'attribution rimane preliminare
Gli operatori hanno impiegato strumenti post-compromissione open-source sviluppati da sviluppatori di lingua cinese, tra cui FScan, Pillager e Searchall. Tuttavia Kaspersky non ha identificato riutilizzo diretto di codice né sovrapposizioni di infrastruttura con campagne documentate. L'attribution è esplicitamente definita "preliminare" dal report: la lingua degli strumenti non costituisce prova di attribuzione nazionale, e l'assenza di evidenze concrete impone cautela su qualsiasi collegamento a gruppo APT specifico.
Non è stata osservata esfiltrazione attiva di dati nei sistemi analizzati. Gli obiettivi finali rimangono non confermati, anche se il targeting suggerisce possibile spionaggio informatico. Kaspersky segnala che i moduli di Cobalt Strike per operazioni su file ed esfiltrazione potrebbero essere impiegati in fasi successive.
Cosa cambia
Il bypass del Loader Lock rappresenta un'evoluzione tecnica documentata: la tecnica di Killick, pubblicata come ricerca legittima nel 2023, è ora impiegata in malware operativo. Per i team di difesa, questo indica che i controlli tradizionali sul caricamento DLL in fase di inizializzazione processo non sono sufficienti a rilevare questa specifica variante.
L'uso sistematico di decoy PDF con contenuti tecnici specifici mostra un livello di preparazione dell'ingegneria sociale che va oltre l'approccio generico. La combinazione di exploit PoC pubblici e tecniche di elusione avanzate suggerisce operatori che integrano risorse disponibili pubblicamente con sviluppo custom mirato.
La campagna StrikeShark dimostra inoltre come il targeting di entità diplomatiche e governative in aree geografiche diverse non implichi necessariamente un'operazione statale coordinata: la distribuzione opportunistica con payload generico come Cobalt Strike Beacon può colpire obiettivi di interesse per diversi attori.
Fonti e limiti dell'analisi
Questa analisi si basa sul report Kaspersky SecureList come unica fonte primaria strutturata. Le fonti giornalistiche The Hacker News e HelpNetSecurity corroborano elementi specifici ma non aggiungono analisi tecnica indipendente. Le fonti elliotonsecurity.com forniscono contesto tecnico sulla tecnica Perfect DLL Hijacking e sul meccanismo Loader Lock, senza menzionare direttamente SharkLoader.
Le informazioni sono aggiornate al momento della pubblicazione del report Kaspersky. Alcuni dettagli operativi — inclusi il meccanismo esatto di distribuzione dei dropper, l'estensione completa della campagna e gli obiettivi finali — non sono documentati nella fonte primaria.
Fonti
- The Hacker News — New SharkLoader Malware Deploys Cobalt Strike (Fonte 1)
- HelpNetSecurity — SharkLoader dropper targets governments, software developers (Fonte 2)
- Kaspersky SecureList — StrikeShark Campaign (Fonte 3, primaria)
- Elliot on Security — Perfect DLL Hijacking (Fonte 6, contesto tecnico)
- Elliot on Security — What is Loader Lock (Fonte 7, contesto tecnico)
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/new-sharkloader-malware-deploys-cobalt.html
- https://www.helpnetsecurity.com/2026/06/26/sharkloader-dropper-governments-software-developers/
- https://securelist.com/strikeshark-campaign/120326/
- https://elliotonsecurity.com/perfect-dll-hijacking/
- https://elliotonsecurity.com/what-is-loader-lock/
- https://gbhackers.com/microsoft-winre-vulnerability/amp/
- https://kb.cert.org/vuls/id/226679
- https://thehackernews.com/2025/05/china-linked-hackers-exploit-sap-and.html