Xeno RAT: Come Rilevare la Campagna SideCopy

TL;DR

• Cosa imparerai: A identificare email riconducibili alla campagna SideCopy/Xeno RAT e a configurare filtri di rilevamento
• Tempo richiesto: 15-20 minuti per la guida, 10 minuti per implementare i filtri
• Difficoltà: Media — servono accesso admin alla console antispam e basic understanding degli header email

---

IL PROBLEMA

Se stai leggendo questo probabilmente hai visto l'allerta: il gruppo SideCopy (quello legato al Pakistan) ha fatto irruzione nel Ministero delle Finanze dell'Afghanistan usando un RAT open-source chiamato Xeno. Non è una minaccia generica di spam — è un'operazione mirata, e le tecniche usate nella spear-phishing potrebbero facilmente replicarsi contro aziende italiane.

Il punto? Xeno RAT è open-source. Chiunque può scaricarlo da GitHub e usarlo. Il codice è già stato modificato da altri threat actor. Quindi anche se questa specifica campagna è diretta all'Afghanistan, le stesse email di phishing potrebbero arrivare nella tua inbox domani.

Il problema concreto: come fai a riconoscere un'email che porta Xeno RAT prima che il tuo utente ci clicchi sopra?

---

PREREQUISITI

• Accesso admin alla console antispam (MailSniper, Defender, Sophos, quello che usi)
• Possibilità di configurare regole personalizzate o filtri custom
• Accesso agli header completi delle email (non solo la preview)
• Un ambiente di test dove puoi ricevere email sospette senza rischi

---

STEP-BY-STEP

Step 1: Capire cosa cerca SideCopy

La campagna usa email che si fingono comunicazioni ufficiali. L'oggetto tipico è qualcosa come "Official Document - Ministry of Finance" o variazioni sul tema. Il corpo contiene un link o un allegato che scarica il malware.

Gli indicatori chiave:

• Dominio del mittente: spesso domini gov.xxx o presunti domain istituzionali (occhio ai typo: .gov con una lettera sbagliata)
• Urgenza finta: "urgent action required", "immediate attention"
• Allegati: documenti Office con macro, o link a download

Step 2: Analizzare gli header

Apri l'email sospetta e copia gli header completi. Cerca queste voci:

Received: from mail-relay-gov[.]xyz (unknown [185.220.101.xxx])

Nota l'IP del server mittente. Se è in una range sconosciuto o geolocalizzato in Pakistan/India, è un primo segnale.

Authentication-Results: spf=fail (sender IP is 185.220.101.xxx)

SPF fallito + dominio governativo farlocco = red flag enorme.

Step 3: Creare regole di rilevamento

Nella tua console antispam, configura queste regole (esempio per MailSniper, adattabile):

Regola 1 — Oggetti sospetti:

Match: Subject contains "Ministry of Finance" OR "Official Document" OR "Urgent Action"
Action: Quarantine + Notify Admin

Regola 2 — Allegati Office:

Match: Attachment extension in [.docm, .xlsm, .pptm]
AND Attachment contains macro
Action: Block + Log

Regola 3 — Link sospetti:

Match: Body contains patterns like /bit\.ly/ OR /tinyurl\.com/ OR /dropbox\.com\/s\/
Action: Sandbox scan before delivery

Step 4: Sandbox degli allegati

Questo è cruciale. Ogni allegato Office che arriva da mittenti esterni deve finire in sandboxing. Xeno RAT usa payload iniziali che sembrano documenti legittimi.

Se il tuo antispam ha sandboxing integrato (come MailSniper), attiva il detonazione automatica:

Settings > Sandbox > Enable for: All Office documents, All executables
Timeout: 60 seconds
Action on detection: Block + Quarantine

Step 5: Monitorare i pattern nel tempo

SideCopy cambia tattica. Ogni settimana, controlla i log delle email bloccate e cerca:

• Nuovi domini mittente che si fingono istituzionali
• Oggetti ricorrenti con piccole variazioni
• IP ranges nuovi associati a domini sconosciuti

Crea un log settimanale:

# Esempio comando per estrarre domini sospetti dai log
grep "Subject.*Official" /var/log/mailsniper/quarantine.log | awk '{print $NF}' | sort | uniq -c | sort -rn

---

VERIFICA

Per testare che le regole funzionano, puoi:

1. Invia un'email di test con oggetto "Urgent Action Required - Ministry of Finance" da un account di test — deve finire in quarantine
2. Simula un allegato .docm — deve essere bloccato o detonato in sandbox
3. Verifica i log:

grep "Xeno" /var/log/mailsniper/detections.log

Se vedi match, le regole funzionano. Se non trovi nulla, probabilmente non hai ancora ricevuto nulla di simile (per ora).

Controlla anche che i falsi positivi non esplodano: se improvvisamente hai centinaia di email legittime bloccate, la regola è troppo aggressiva.

---

TROUBLESHOOTING

Le email legittime vengono bloccate? Il problema è che molte aziende usano "Official" negli oggetti. Sposta la regola da "block" a "quarantine + notify" così controlli prima di bloccare.

Il sandboxing rallenta la consegna? Normale. Se hai più di 1000 email al giorno, aumenta il timeout a 120 secondi o attiva solo per allegati > 1MB.

Non ho accesso agli header completi? Chiedi al tuo provider antispam di abilitare l'opzione. Se non puoi, passa a una soluzione che te li mostra — senza header non puoi fare analisi seria.

SideCopy cambia domain ogni settimana, come tengo il passo? Qui serve threat intelligence. Non puoi farlo manualmente. Servono feed automatici che aggiornano le regole. MailSniper include aggiornamenti periodici basati su Threat Intelligence.

---

CONCLUSIONE

SideCopy non è l'unico gruppo che usa Xeno RAT — è open-source,意思是 chiunque può usarlo domani contro la tua azienda. La differenza tra essere compromessi e no è semplice: devi cercare i pattern giusti negli header e filtrare gli allegati Office prima che arrivino agli utenti.

Le regole che ti ho dato funzionano, ma devi mantenerle. Ogni mese, controlla cosa è stato bloccato e aggiusta. Se il tuo antispam attuale non ti permette di fare sandboxing degli allegati, valuta una soluzione dedicata — perché il antivirus base non basta più.

Il prossimo passo? Vai nella tua console e implementa almeno la Regola 2 sugli allegati Office. Oggi. Prima che qualcuno clicchi.