La campagna di malware XRed prende di mira le organizzazioni multinazionali

10 dicembre 2025

Di Samantha Clarke, Hiwot Mendahun, Ankit Gupta e il team di ricerca sulle minacce di Mimecast

Panoramica della campagna

Il team di ricerca sulle minacce di Mimecast ha individuato una campagna di malware ancora in corso che sfrutta circolari fraudolente che si spacciano per comunicati del Dipartimento delle imposte sul reddito del Governo indiano. Le organizzazioni prese di mira comprendono principalmente filiali indiane e hanno sede centrale nel Regno Unito o negli Stati Uniti. L'analisi rivela che gli autori delle minacce adottano criteri sofisticati nella selezione dei bersagli, concentrandosi su imprese di medie e grandi dimensioni (in genere con oltre 1.000 dipendenti) nei settori B2B, in particolare nei servizi finanziari, nei servizi professionali e nell'amministrazione aziendale.

Attiva dall’ottobre 2025, questa campagna ricorre a tattiche di ingegneria sociale volte a sfruttare il senso di urgenza legato agli adempimenti fiscali e alle potenziali sanzioni. I destinatari ricevono e-mail contenenti link che consentono di visualizzare le varie violazioni fiscali commesse dall'azienda.

Attributi chiave delle e-mail

• Infrastruttura giapponese: le e-mail provengono da indirizzi IP associati a numeri di sistemi autonomi giapponesi, il che suggerisce la presenza di sistemi compromessi o di scelte infrastrutturali deliberate volte a eludere i controlli di sicurezza regionali.
• Client di posta elettronica obsoleti: le intestazioni delle e-mail rivelano l’utilizzo di Foxmail e di versioni obsolete di Microsoft Outlook (come indicato dai valori X-Mailer), il che potrebbe consentire di aggirare i moderni controlli di sicurezza della posta elettronica incentrati sugli attuali modelli di minaccia.
• URL senza schema: talvolta i link dannosi compaiono senza gli schemi URL standard (mancano ", http://," o ", https://,"), eludendo potenzialmente i meccanismi di filtraggio di base degli URL.
• Invio non autenticato: i messaggi provengono da server di posta che non richiedono alcuna autenticazione, una caratteristica che facilita lo spoofing ma offre anche opportunità di rilevamento.

Non appena l'utente clicca sul link, viene reindirizzato alla pagina seguente, che riproduce le comunicazioni ufficiali del governo.

Queste pagine contengono testi sia in hindi che in inglese e fanno riferimento all’articolo 271, comma 1, lettera c), della Legge sull’imposta sul reddito, relativo alle sanzioni previste in caso di occultamento di redditi o di fornitura di dati inesatti. La notifica richiede l’invio dei documenti entro 72 ore e include un pulsante “ "” (Scarica i documenti)" che funge da vettore iniziale di infezione.

Catena tecnica di infezione

Quando le vittime fanno clic sul pulsante “ "” (Scarica i documenti)", scaricano inconsapevolmente un file VBS (Visual Basic Script) dannoso, denominato in genere “ "Tax Penalty Notice.vbs”." Una volta eseguito, questo script si collega a un server remoto e scarica un file eseguibile da un dominio sospetto. Sulla base dell’analisi dell’infrastruttura di comando e controllo, una delle campagne osservate sembra essere collegata alla famiglia di malware Xred.

Quando un destinatario apre il file VBS dannoso, all’utente viene visualizzato un avviso di sicurezza che chiede se desidera procedere con l’apertura del file; se l’utente decide di procedere, lo script viene eseguito automaticamente senza richiedere ulteriori interventi da parte sua.

Lo script cerca innanzitutto di riavviarsi in una finestra nascosta per evitare di essere individuato, assicurandosi che le sue operazioni rimangano invisibili all’utente. All'avvio, lo script crea una cartella in C:\SystemUpdates, qualora questa non esista già. Tutte le operazioni successive vengono registrate nel file C:\SystemUpdates\update_log.txt, compresi gli orari di inizio e di fine dell'esecuzione dello script. Questo meccanismo di registrazione offre agli autori delle minacce una visione d'insieme delle infezioni andate a buon fine e può essere d'aiuto nella risoluzione dei problemi relativi ai tentativi di distribuzione falliti.

Dopo aver configurato l'ambiente operativo, lo script introduce un ritardo casuale compreso tra 8 e 15 secondi. Tale ritardo funge da tecnica anti-analisi, consentendo potenzialmente di eludere gli ambienti sandbox automatizzati che si aspettano un comportamento dannoso immediato entro brevi intervalli di analisi. Al termine del periodo di attesa, lo script crea ed esegue un comando PowerShell finalizzato a scaricare un file eseguibile dall’indirizzo remoto https://googlevip.shop/216.250.104.166ClientSetup[.]exe.

Il file scaricato viene salvato in locale con il nome C:\SystemUpdates\216.250.104.166ClientSetup[.]exe. Se il download viene completato con successo e il file è presente sul sistema locale, il comando PowerShell procede all'esecuzione del payload in modo silenzioso, impedendo la visualizzazione di qualsiasi notifica all'utente o finestra di dialogo di consenso. Una delle campagne osservate sembra essere collegata al malware XRed, la cui funzione principale è quella di trojan backdoor; una volta infettato il sistema, XRed è in grado di compiere numerose attività dannose

• Esfiltrazione dei dati: raccoglie informazioni sensibili relative al sistema (ad esempio, nome utente, indirizzo MAC, nome del computer) e le trasmette all’autore dell’attacco.
• Keylogging: registra i tasti digitati per sottrarre le credenziali di accesso a account di posta elettronica, social media, servizi bancari e criptovalute.
• Controllo remoto: l’autore dell’attacco può eseguire vari comandi da remoto, tra cui l’acquisizione di schermate, l’accesso alla riga di comando e l’elenco, il download o l’eliminazione di file.
• Persistenza: utilizza chiavi di registro e directory nascoste (come C:\ProgramData\Synaptics\) per mantenere una presenza persistente nel sistema.
• Carichi aggiuntivi: è in grado di scaricare e installare altri tipi di malware sul computer compromesso

Protezione Mimecast

Il team di ricerca sulle minacce di Mimecast ha individuato diversi elementi caratteristici di questa campagna e li ha integrati nelle nostre funzionalità di rilevamento. Continuiamo a monitorare i cambiamenti a livello di infrastrutture e l’evoluzione delle tecniche, man mano che gli autori delle minacce adattano le proprie operazioni.

Obiettivi

Area di riferimento principale: India oppure aziende con sede prevalentemente nel Regno Unito e negli Stati Uniti che dispongono di una sede in India. Selezione non casuale, con particolare attenzione alle organizzazioni di medie e grandi dimensioni (oltre 1.000 dipendenti) che operano in contesti che coinvolgono più giurisdizioni.
Settori interessati: numerosi settori, con una concentrazione particolarmente elevata nei servizi finanziari, nei servizi professionali (contabilità, consulenza legale, consulenza aziendale), nell’amministrazione aziendale, nella catena di approvvigionamento/logistica e nel settore manifatturiero. La campagna si rivolge in particolare alle organizzazioni orientate al B2B, caratterizzate da ecosistemi di fornitori complessi e da attività transfrontaliere.

Indicatori di compromissione (IOC)

Indirizzi e-mail dei mittenti

• urabe@kcc.zaq.ne.jp
• hase.3@jcom.zaq.ne.jp
• akomai@jcom.zaq.ne.jp
• servant@jcom.zaq.ne.jp
• sho552004@jcom.zaq.ne.jp

File dannosi

• Hash (relativo a Xred): 0447426535047cae9870c99e8b66d8030c9b1492856445ef630c9c07a3fb42da
• Hash: 5178a2e904e239eb02b836227e48c0a99b02031a91136395a6c70a81d0ef3ee1

Domini dannosi

• googlevip[.]shop/
• dadasf[.]qpon/
• googleaxc[.]shop/
• googlem[.]com/

Raccomandazioni

Sensibilizzazione degli utenti in materia di sicurezza

• Informare gli utenti in merito alla crescente diffusione dei casi di usurpazione d’identità da parte di enti governativi, sottolineando che le autorità fiscali legittime, di norma, non inviano richieste urgenti di pagamento o di invio di documenti tramite e-mail con allegati scaricabili.
• Protocolli di verifica: stabilire procedure chiare affinché i dipendenti possano verificare le comunicazioni governative sospette attraverso i canali ufficiali prima di intraprendere qualsiasi azione.
• Consapevolezza del contesto regionale: per le organizzazioni che operano in India, si raccomanda di organizzare corsi di formazione mirati sulle modalità di comunicazione delle autorità fiscali locali e sulle tattiche di frode più comuni. Le organizzazioni che corrispondono al profilo di riferimento (imprese di medie e grandi dimensioni con filiali indiane nei settori dei servizi finanziari o professionali) dovrebbero dare priorità alla formazione di sensibilizzazione rivolta al personale addetto alla finanza e alla conformità che ha accesso alle operazioni delle entità indiane.

Ricerca proattiva delle minacce

• Analisi dei registri delle e-mail: effettuare una ricerca nei registri di ricezione delle e-mail per individuare i messaggi provenienti dai domini e dagli indirizzi e-mail dei mittenti identificati, in particolare quelli indirizzati al personale dei reparti finanziario, di conformità o operativo con responsabilità relative alle entità indiane.
• Analisi dei log degli URL: cercare nei log degli URL gli indicatori tecnici associati a queste campagne

Le organizzazioni che operano in India o intrattengono rapporti commerciali con tale Paese dovrebbero prestare la massima attenzione a campagne simili e assicurarsi che i propri controlli di sicurezza tengano conto delle minacce mirate a livello geografico, che potrebbero eludere i metodi di rilevamento non specifici per una determinata regione. Le organizzazioni con oltre 1.000 dipendenti e attività significative in India sono esposte a un rischio elevato a causa dei modelli di targeting emersi nell’ambito della campagna.