DeafNews
// 4 ZERO-DAY · 4 CVE · 2 EXPLOIT NELLE ULTIME 24H
Cybersecurity EXPLOIT

StrikeShark: nuovo loader colpisce governi e diplomatici in 10 paesi

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Kaspersky documenta il campaign StrikeShark: SharkLoader distribuisce Cobalt Strike sfruttando vulnerabilità note con PoC pubblici, con vittime diplomatiche e

Kaspersky ha documentato il campaign StrikeShark, attivo in almeno dieci paesi e diretto contro organizzazioni diplomatiche indonesiane, enti governativi taiwanesi e aziende software. Il dato rilevante non è la sofisticazione tecnica, ma la persistenza del rischio: ProxyLogon, vulnerabilità del 2021, rimane vettore d'accesso efficace nel 2026. La pubblicazione di giovedì 24 giugno 2026 conferma che asset esposti e non patchati continuano a rappresentare il percorso di minor resistenza per attacchi strategici.

Punti chiave
  • SharkLoader è un nuovo loader documentato da Kaspersky per caricare Cobalt Strike Beacon in memoria tramite catena multi-stadio.
  • I vettori di accesso iniziale includono CVE-2021-26855 (ProxyLogon), CVE-2023-32315 (Openfire), CVE-2024-36401 (GeoServer) e dropper mascherati da Google Update e Cisco AnyConnect.
  • La catena di caricamento sfrutta DLL sideloading di SystemSettings.exe con SystemSettings.dll malevolo, seguito da DscCoreR.mui (Beacon criptato + MinHook) e SyncRes.dat per API hooking.
  • Kaspersky valuta con confidenza media che gli operatori si affidino principalmente a PoC pubblici piuttosto che exploit custom.

La geografia dell'attacco: perché il target è il settore pubblico

Le vittime identificate dall'analisi Kaspersky si distribuiscono in Indonesia, Taiwan, Hong Kong, Libano, Siria, Colombia, Macedonia del Nord, Nepal, Serbia e altri paesi. La diversità geografica attraversa Asia, Medio Oriente, Europa sud-orientale e America latina: non esiste correlazione regionale che isoli il rischio.

Il profilo delle organizzazioni colpite è altrettanto variegato. Enti diplomatici indonesiani, strutture governative taiwanesi, aziende di sviluppo software: l'unico denominatore comune è la presenza di applicazioni esposte a Internet con vulnerabilità note. Il campaign dimostra che l'accesso iniziale non richiede obiettivi ad alto profilo specifici, ma semplicemente superficie d'attacco visibile e non corretta.

Come funziona SharkLoader: la catena tecnica

SharkLoader impiega una struttura modulare progettata per l'esecuzione in memoria e la riduzione della traccia forense. Il punto d'ingresso è il DLL sideloading: un eseguibile legittimo di Windows, SystemSettings.exe, viene copiato da C:\Windows\ImmersiveControlPanel in una nuova directory insieme a SystemSettings.dll malevolo. Sfruttando l'ordine di ricerca DLL di Windows, il processo carica la libreria malevola al posto di quella originale.

SystemSettings.dll attiva quindi il caricamento di DscCoreR.mui, file che contiene il payload Cobalt Strike Beacon e la libreria MinHook per l'hooking delle API. Un terzo componente, SyncRes.dat, installa gli API hooks necessari a mascherare l'attività del Beacon. L'intera catena si risolve in esecuzione riflessiva in memoria, senza che il payload principale tocchi il disco in forma decifrata.

Alcuni dropper utilizzano PDF decoy come esca: documenti su trattamento biologico e design di motori a razzo, indirizzati probabilmente a target con profili tecnici specifici. Un sample è mascherato come AnyConnect-win-4.10.04071-predeploy-k9.exe: estrae un MSI legittimo in %APPDATA%\reports\ mentre installa i componenti SharkLoader in sottodirectory dedicate, documentate come %APPDATA%\xwreg e %APPDATA%\xgdf.

"What initially appeared to be an isolated case quickly expanded into a broader campaign as we identified additional SharkLoader infections across multiple countries and sectors"
— Kaspersky Securelist, analisi StrikeShark

Exploit noti, risultati strategici

I vettori documentati dall'analisi sono vulnerabilità con proof-of-concept pubblici disponibili da mesi o anni. CVE-2021-26855, componente della catena ProxyLogon su Microsoft Exchange, risale al marzo 2021. CVE-2023-32315 colpisce il server Openfire, CVE-2024-36401 il server GeoServer. La fonte cita anche CVE-2021-27076, con punteggio CVSS 8.8 HIGH secondo il National Vulnerability Database, in un incidente correlato.

La scelta di vulnerabilità mature non indica errore degli attaccanti, ma calcolo operativo: "we assess with medium confidence that the threat actor primarily relies on publicly available proof-of-concept (PoC) exploits to gain initial access", come riporta Kaspersky. Il costo di sviluppo è prossimo allo zero, il ritorno è l'accesso a reti governative e diplomatiche. La mancanza di exploit custom suggerisce un attore con risorse moderate ma con buona capacità di post-sfruttamento e movimento laterale.

La persistenza viene stabilita tramite webshell post-exploitation. Il webshell esatto non è stato recuperato dall'analisi: restano tracce di comandi osservati, ma non il file sorgente. Questo limite non compromette la ricostruzione della catena, ma lascia aperta la questione di quante varianti di accesso persistente siano in circolazione.

Attribuzione: il limite cinese e la sua incertezza

Gli operatori impiegano tool open-source post-compromissione sviluppati da autori di lingua cinese, ma il dossier Kaspersky esplicita i limiti di questa traccia. Non emergono sovrapposizioni infrastrutturali, riutilizzo di codice o pattern operativi che colleghino StrikeShark a un APT o gruppo cybercrime noto. La dichiarazione tecnica è netta: non è disponibile attribuzione confidente.

Un indirizzo IP associato al dominio di comando e controllo ha condotto scanning su larga scala di Internet, suggerendo ricognizione sistematica di obiettivi piuttosto targeting mirato basato su intelligence. La fonte non specifica se il campaign sia ancora attivo al momento della pubblicazione, né la data esatta di inizio dell'attività osservata.

Perché è importante

Il dossier non documenta misure correttive specifiche per le organizzazioni interessate. La fonte non specifica la natura dei dati esposti nelle compromissioni verificate, né gli obiettivi finali del campaign: raccolta di intelligence, spionaggio, preparazione per attacchi futuri rimangono ipotesi non confermate. Il brief non indica se siano state identificate contromisure preventive oltre alla generica raccomandazione di patching, non presente nell'analisi tecnica.

Il campaign StrikeShark ripropone una dinamica osservata con frequenza crescente: la separazione tra sofisticazione tecnica dell'attacco e semplicità del vettore iniziale. SharkLoader dimostra abilità nel caricamento in memoria e nell'evasione, ma il punto d'ingresso resta un Exchange server non aggiornato. La lezione non riguarda l'inevitabilità di exploit avanzati, ma la mancata chiusura di superfici note nel settore pubblico e diplomatico.

L'assenza di fonti indipendenti che corroborino lo stesso campaign costituisce un limite metodologico: l'analisi si fonda sull'unica pubblicazione Kaspersky, senza conferma esterna sulla scala o sulla cronologia degli eventi. La completezza della lista vittime è probabilmente sottostimata, data la dicitura "e altri" nel conteggio geografico.

Per approfondire

  • TTP-chain validation: dimostrare l'exploit senza exploit
  • Oracle PeopleSoft zero-day: ShinyHunters colpisce l'higher education
  • usbliter8: exploit unpatchabile colpisce SecureROM A12/A13 Apple

Fonti

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. securelist.com
  2. elliotonsecurity.com