Team MailSniper
Autore
Attore: Silver Dragon, cluster operativo attribuito con media confidenza ad APT41 (alias Winnti Group, Barium, Double Dragon).
Chi: Gruppo state-sponsored, probabilmente PRC-nexus, con storico di operazioni miste — spionaggio governativo e crimine finanziario.
Cosa: Campagna di spionaggio mirata contro enti governativi in Europa e Asia Sud-Orientale. Utilizzo di Cobalt Strike come framework post-exploitation e Google Drive come canale C2 (Command & Control) non convenzionale.
Quando: Campagna attiva almeno da metà 2025, con picco di attività rilevato tra Q4 2025 e Q1 2026.
Come: Vettore iniziale email con documenti esca (spear-phishing mirato). Payload a stadi multipli che culmina nel deploy di un beacon Cobalt Strike configurato per comunicare attraverso le API di Google Drive, mascherando il traffico C2 come normale attività cloud.
Perché: Furto di credenziali, accesso persistente a reti governative, esfiltrazione di dati classificati e potenziale pre-posizionamento per operazioni future.
Livello di minaccia ENISA: Critico per enti pubblici e para-pubblici. Alto per organizzazioni del settore privato con contratti governativi.
L'infezione parte sempre da una email. Non una email generica — una email costruita chirurgicamente per la vittima specifica.
I campioni analizzati mostrano documenti in formato Office con macro VBA o exploit LNK (file .lnk con argomenti PowerShell offuscati). Il contenuto degli allegati imita comunicazioni diplomatiche, notifiche di vertici istituzionali o documenti di gara pubblica.
Una tecnica osservata: email apparentemente provenienti da organizzazioni internazionali legittime (ONU, NATO, ministeri europei) con firma digitale falsificata ma visivamente credibile.
Il processo si articola in cinque fasi:
Fase 1 — Initial Access (MITRE T1566.001): Spear-phishing con allegato. Il documento esegue un dropper minimale tramite macro o sfruttamento di vulnerabilità note (CVE già patchate, ma efficaci su sistemi non aggiornati).
Fase 2 — Execution (T1059.001 / T1059.003): PowerShell o cmd.exe eseguono uno script offuscato che scarica il payload di secondo stadio da un dominio staging temporaneo.
Fase 3 — Persistence (T1053.005 / T1547.001): Task Scheduler o chiavi Run nel registro per garantire la sopravvivenza al reboot. In alcuni casi rilevato anche abuso di COM Object Hijacking (T1546.015).
Fase 4 — C2 via Google Drive (T1102.002): Qui sta la novità operativa più rilevante. Il beacon Cobalt Strike viene configurato con un "malleable C2 profile" che incapsula le comunicazioni nelle API di Google Drive. In pratica: il malware legge le istruzioni da un file su Drive e scrive i risultati su un altro file. Tutto il traffico transita su HTTPS verso *.googleapis.com — un dominio che la quasi totalità dei firewall aziendali considera fidato e non ispeziona.
Fase 5 — Collection & Exfiltration (T1119 / T1041): Raccolta di credenziali (T1003 — OS Credential Dumping), enumerazione della rete interna, esfiltrazione di documenti sensibili sempre tramite API cloud.
certutil.exe e mshta.exe come proxy di esecuzione (T1218).info e .site)svchost_helper.exe, windefend_upd.exe)Il traffico verso Google Drive è cifrato, ubiquo e quasi mai bloccato. La maggior parte degli strumenti di ispezione del traffico non decodifica le chiamate API Google in profondità. Questo trasforma un'infrastruttura C2 tradizionale — costosa da mantenere, facilmente smontata da takedown — in qualcosa di praticamente invisibile ai controlli perimetrali standard.
Non è una tecnica nuova in assoluto (altri APT l'hanno usata con Dropbox e OneDrive), ma la sua applicazione sistematica da parte di un gruppo di questo livello la porta a un nuovo stadio di maturità operativa.
La campagna Silver Dragon ha colpito principalmente:
L'Europa è nel perimetro operativo del gruppo. Non come target principale, ma come vettore: compromettere un partner europeo di un governo asiatico è spesso più semplice che attaccare il target finale direttamente.
| Tipo di organizzazione | Livello di rischio | Motivazione |
|---|---|---|
| Ministeri / enti governativi centrali | CRITICO | Target diretto della campagna |
| Appaltatori difesa e PA | CRITICO | Target indiretto ad alto valore |
| Think tank, istituti di ricerca | ALTO | Fonte di intelligence strategica |
| Aziende con contratti pubblici UE | ALTO | Accesso laterale a reti PA |
| Studi legali con clienti istituzionali | MEDIO-ALTO | Documenti riservati, comunicazioni diplomatiche |
| PMI senza esposizione PA | MEDIO | Rischio ridotto ma non zero (supply chain) |
| Organizzazioni consumer | BASSO | Fuori dal perimetro di interesse |
Un errore comune: pensare che gli APT colpiscano solo i grandi. Silver Dragon, come altri gruppi state-sponsored, usa le organizzazioni più piccole come stepping stone per raggiungere il target reale.
Se la tua azienda fattura servizi a un ministero, lavora su un progetto UE o gestisce dati per un'istituzione pubblica, sei nel perimetro — indipendentemente dalle tue dimensioni.
L'abuso di servizi cloud legittimi come canale C2 non è una novità assoluta. Quello che cambia è la sistematicità e la sofisticazione.
| Gruppo APT | Servizio cloud abusato | Anno rilevazione | Tecnica |
|---|---|---|---|
| APT29 (Cozy Bear) | OneDrive, Dropbox | 2021-2023 | Scrittura file per C2 asincrono |
| UNC2630 | Slack, GitHub | 2022 | Polling canali/repository |
| Lazarus Group | Google Docs | 2023 | Documenti condivisi come dead drop |
| Silver Dragon | Google Drive API | 2025-2026 | Malleable C2 profile su Cobalt Strike |
La differenza con i predecessori: Silver Dragon non usa l'interfaccia web dei servizi, ma le API native. Questo rende il traffico praticamente indistinguibile da quello di qualsiasi applicazione aziendale che integra Google Workspace.
APT41 è storicamente uno dei gruppi più versatili nel panorama delle minacce avanzate: capace di operazioni di spionaggio puro (per conto dello Stato) e di attività finanziarie (per profitto proprio). Silver Dragon eredita questa doppia natura.
Gli elementi che lo legano ad APT41:
Il dato che emerge dall'analisi comparativa è un cambio di paradigma: i gruppi state-sponsored stanno aumentando i tempi di dwell (permanenza nella rete) e riducendo il rumore operativo.
Se nel 2020 il dwell time medio di un APT era intorno ai 56 giorni (fonte: Mandiant M-Trends), le campagne più recenti mostrano attori che rimangono latenti per 6-18 mesi prima di esfiltrare o agire. Silver Dragon ne è un esempio: basso profilo, beacon lenti, traffico C2 mimetizzato.
Questo rende inutili gli strumenti di rilevamento basati solo su anomalie di volume o frequenza.
1. Audit delle connessioni verso Google APIs Analizza i log di rete per chiamate anomale a www.googleapis.com e drive.googleapis.com da host che normalmente non usano Google Drive. Un endpoint che improvvisamente inizia a fare chiamate API Google a orari insoliti è un indicatore da investigare.
2. Revisione delle regole di ispezione TLS Verifica che il tuo proxy/NGFW faccia SSL inspection anche su domini Google. Molte organizzazioni escludono *.google.com dall'ispezione per ridurre la latenza — una scelta che crea un punto cieco significativo.
3. Ricerca di IoC noti Effettua threat hunting nei log EDR per i seguenti comportamenti:
certutil.exe con parametri -decode o -urlcachemshta.exe che esegue script remotischtasks.exe con task name non standard4. Hardening delle email in ingresso Il vettore iniziale rimane la email. Assicurati che il tuo gateway email blocchi:
.xlsm, .docm)Strumenti come MailSniper includono sandboxing degli allegati e analisi URL real-time — particolarmente utili per intercettare i dropper di primo stadio prima che raggiungano l'endpoint.
5. Segmentazione e least privilege Verifica che gli account utente non abbiano diritti di amministratore locale. La maggior parte delle fasi di questa kill chain richiede privilegi elevati — ridurre la superficie di escalation frena l'attacco a metà catena.
6. Visibilità sul traffico cloud (CASB/DLP) Implementa o verifica le policy del tuo Cloud Access Security Broker per rilevare upload anomali su Google Drive o accessi API da applicazioni non censited.
7. Esercizi di threat hunting proattivi Basati sul framework MITRE ATT&CK (tecniche T1566, T1102, T1003, T1053), progetta esercizi di caccia alle minacce nei tuoi log storici. Potresti scoprire che l'attaccante è già dentro.
8. Revisione del piano di risposta agli incidenti Aggiorna il tuo playbook per includere scenari di C2 su cloud legittimo. Le procedure standard di isolamento della rete non sono sufficienti se il canale C2 transita su servizi che non puoi bloccare senza impattare il business.
9. Formazione mirata per funzioni a rischio IT, legal, procurement e chiunque abbia accesso a documenti classificati o contratti pubblici sono i target elettivi. Una simulazione di spear-phishing realistica (non i soliti test con email ovvie) è più efficace di ore di formazione teorica. Puoi trovare una guida pratica nella sezione risorse del blog.
mshta.exe, regsvr32.exe, rundll32.exe con argomenti di reteNei prossimi 3-6 mesi ci aspettiamo un'espansione del perimetro geografico di Silver Dragon verso l'Europa Occidentale — con focus su paesi coinvolti in decisioni geopoliticamente rilevanti per la Cina (Taiwan, commercio tecnologico, sanzioni).
La tecnica del C2 su Google Drive verrà probabilmente replicata da altri gruppi meno sofisticati: le TTP di APT avanzati diventano commodity in 6-18 mesi. Oggi è Silver Dragon, domani sarà un ransomware group che usa la stessa tecnica per nascondere le comunicazioni con gli affiliati.
Il vettore email rimarrà il punto di ingresso principale. Non perché sia il più tecnico, ma perché funziona. Ogni attacco APT di questa campagna è iniziato con qualcuno che ha aperto un allegato.
La difesa migliore è ancora quella: blocca la minaccia prima che arrivi alla casella di posta. Tutto il resto è gestione del danno.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUna nuova campagna di attacco sfrutta OAuth per rubare token di accesso a Microsoft 365, bypassando completamente l'autenticazione a più fattori. Ecco l'analisi tecnica completa con indicatori MITRE ATT&CK e mitigazioni prioritarie.
LeggiTA446 (SEABORGIUM/ColdRiver) sta sfruttando DarkSword per prendere di mira iPhone aziendali via phishing email. Ecco cosa fare lato server di posta e MDM per non ritrovarti a fare incident response il venerdì sera.
LeggiPer anni 'ho un iPhone' è sembrata una risposta sufficiente a qualsiasi preoccupazione sulla sicurezza. Poi è arrivato DarkSword — e quella certezza ha cominciato a scricchiolare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.