Una nuova backdoor personalizzata chiamata Stealth Soldier è stato utilizzato in una serie di attacchi di spionaggio altamente mirati in Nord Africa. “Il malware Stealth Soldier è una backdoor non documentata che svolge principalmente funzioni di sorveglianza come l’esfiltrazione di file, la registrazione dello schermo e del microfono, il logging dei tasti e il furto di informazioni dal browser”, ha dichiarato la società di cybersecurity Check Point in un rapporto tecnico.
Gli attacchi di Stealth Soldier
L’operazione in corso è caratterizzata dall’uso di server di comando e controllo (C&C) che imitano siti appartenenti al Ministero degli Affari Esteri libico. I primi artefatti associati alla campagna risalgono a ottobre 2022. Gli attacchi iniziano con potenziali obiettivi che scaricano binari downloader fasulli che vengono consegnati tramite attacchi di social engineering e agiscono come un condotto per recuperare Stealth Soldier, mentre contemporaneamente visualizzano un file PDF vuoto come esca.
L’impianto modulare personalizzato, che si ritiene venga utilizzato con parsimonia, consente capacità di sorveglianza raccogliendo elenchi di directory e credenziali del browser, registrando i tasti premuti, registrando l’audio del microfono, scattando screenshot, caricando file e eseguendo comandi PowerShell.
“Il malware utilizza diversi tipi di comandi: alcuni sono plugin che vengono scaricati dal C&C e alcuni sono moduli all’interno del malware”, ha detto Check Point, aggiungendo che la scoperta di tre versioni di Stealth Soldier indica che è attivamente mantenuto dai suoi operatori.