Il gruppo APT collegato alla Cina, noto come UNC5174, è stato recentemente osservato mentre distribuiva un toolkit malware avanzato progettato per compromettere sistemi Linux, combinando un downloader personalizzato denominato SNOWLIGHT con un potente trojan di accesso remoto chiamato VShell.
Di cosa si tratta
Sviluppato originariamente da un autore cinese con lo pseudonimo Veo, VShell è uno strumento RAT scritto in Golang, pensato per attività di red teaming e simulazione di avversari avanzati. Sebbene la pagina GitHub del progetto sia stata rimossa, la versione più recente conosciuta, 4.9.3, continua a circolare in ambienti underground, spesso in forma craccata con licenze estese.
A differenza di strumenti tradizionali come Cobalt Strike, VShell offre un’interfaccia web nativa, supporto multipiattaforma (Windows/Linux) e capacità di esecuzione fileless. Una volta avviato, consente all’attaccante il pieno controllo del sistema infetto: esecuzione di comandi da terminale, gestione file, acquisizione di schermate e creazione di backdoor persistenti.
Modus operandi
Secondo i rapporti di threat intelligence, la catena d’attacco inizia con SNOWLIGHT che funge da dropper, eseguendo uno script bash malevolo che scarica due componenti: uno associato a SNOWLIGHT e l’altro al C2 open source Sliver. Questi stabiliscono la comunicazione col server C2, permettendo poi la consegna del payload finale: VShell.
Degno di nota è l’uso da parte di VShell di canali C2 basati su WebSocket, oltre alla schermata di login fittizia ispirata a Nginx, utilizzata per ostacolare la scansione e il fingerprinting. Una volta autenticati, gli operatori possono generare vari payload in grado di eludere i principali antivirus.
La forza di VShell risiede nella furtività, nella facilità d’uso e nel supporto nativo per Linux, rendendolo uno strumento privilegiato nelle operazioni cyber moderne. È attualmente impiegato da attori sinofoni per ottenere l’accesso iniziale, muoversi lateralmente e mantenere la persistenza a lungo termine su sistemi compromessi.
Attacchi senza distinzione
Con la diffusione crescente di strumenti offensivi open-source, il loro uso improprio da parte di attori sponsorizzati da stati nazionali rende sempre più sfumati i confini tra operazioni statali e criminali, complicando enormemente i processi di attribuzione.
Per questa ragione, diventa imprescindibile dotarsi di sistemi di monitoraggio e risposta attivi 24 ore su 24 e di Threat Intelligence, capaci di scrutare tanto le insidie provenienti dall’interno quanto le minacce esterne che incombono sull’azienda.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
