Perché gli attacchi basati su LNK continuano a passare inosservati
Alla fine del 2025, Arctic Wolf Labs ha pubblicato una ricerca su una campagna di spionaggio rivolta contro sedi diplomatiche in Belgio, Ungheria e altri paesi europei. L'autore della minaccia, un gruppo legato alla Cina identificato come UNC6384, ha utilizzato e-mail di spearphishing per diffondere collegamenti di Windows (file LNK) dannosi, che facevano riferimento a riunioni legittime della Commissione europea e a seminari relativi alla NATO.
Quando un destinatario faceva clic sul collegamento, un comando PowerShell nascosto avviava una catena di infezione in più fasi che portava infine all'installazione del trojan di accesso remoto PlugX. La campagna sfruttava la vulnerabilità ZDI-CAN-25373, una falla nei collegamenti di Windows resa nota nel marzo 2025 che consente l'esecuzione nascosta di comandi, mascherandoli tramite spazi di riempimento negli argomenti della riga di comando di un file LNK.
L'uso che ne ha fatto UNC6384 ha messo in luce un problema più ampio: i file di collegamento continuano a sembrare agli utenti elementi di routine e spesso vengono sottoposti a un controllo meno rigoroso rispetto agli eseguibili o ai documenti con macro abilitate. Una volta eseguito un file LNK dannoso, l'attività più pericolosa si svolge spesso in fase di esecuzione attraverso script codificati, archivi a più livelli e l'uso improprio di file binari firmati, ambiti in cui la scansione statica e i controlli di reputazione possono avere difficoltà a stare al passo.
Da allora la campagna non ha smesso di evolversi. Nell'aprile 2026, The Hacker News ha riferito che lo stesso gruppo di hacker, identificato nel settore come TA416, aveva ripreso a prendere di mira organizzazioni governative e diplomatiche europee a partire dalla metà del 2025, ricorrendo a nuovi metodi di diffusione quali l'abuso dei reindirizzamenti OAuth, le pagine di autenticazione di Cloudflare Turnstile e l'esecuzione basata su MSBuild, pur continuando ad aggiornare il proprio payload PlugX.
La ricerca su Arctic Wolf analizzata in questo articolo illustra una fase di quella che è ormai un'operazione documentata e ancora in corso, e dimostra come MetaDefender e la tecnologia Deep CDR™, insieme, colmino il divario tra rilevamento e prevenzione.
La catena di attacchi dell'UNC6384
Tutto è iniziato con un file che la maggior parte degli utenti non avrebbe mai messo in discussione. Il file LNK diffuso nell’ambito di questa campagna, denominato "Agenda_Meeting 26 Sep Brussels.lnk", pesava appena 2,58 KB e faceva riferimento a una riunione autentica della Commissione europea volta a facilitare la libera circolazione delle merci ai valichi di frontiera tra l’UE e i Balcani occidentali. Si trattava dell’ordine del giorno reale di un evento reale, con un collegamento che sembrava del tutto normale.
Fase 1: Accesso iniziale tramite un file LNK dannoso
Quando il destinatario faceva doppio clic sul collegamento, questo avviava in modo invisibile PowerShell con un comando offuscato che decodificava ed estraeva un archivio tar (rjnlzlkfe.ta) nella directory Temp locale dell'utente. Il comando PowerShell utilizzava quindi tar.exe per decomprimere l'archivio e avviarne il contenuto, aprendo contemporaneamente un PDF di copertura che mostrava l'ordine del giorno effettivo della riunione. La vittima vedeva un documento. L'autore dell'attacco otteneva l'esecuzione di codice.
Fase 2: caricamento laterale di una DLL tramite un file binario legittimo e firmato
L'archivio estratto conteneva tre file: cnmpaui.exe, cnmpaui.dll e cnmplog.dat. Il primo è un'utilità legittima di Canon per l'assistenza alle stampanti, firmata digitalmente da Canon Inc. con un certificato rilasciato da Symantec. La firma è valida poiché è stata timbrata con data e ora mentre il certificato era ancora attivo, il che significa che Windows continua a considerare attendibile il file binario anche se il certificato stesso è scaduto nel 2018 (Arctic Wolf).
È qui che la precisione fa la differenza. Il file EXE non è dannoso. Si tratta di una vera e propria utility Canon che viene sfruttata a fini specifici: quando cnmpaui.exe viene eseguito, cerca il file cnmpaui.dll nella propria directory prima di controllare i percorsi di sistema. Inserendo una DLL dannosa con lo stesso nome accanto al file binario legittimo, UNC6384 ha dirottato quell’ordine di ricerca e ha caricato il proprio codice all’interno di un processo considerato affidabile.
Fase 3: Decrittografia del payload ed esecuzione di PlugX
Il file dannoso cnmpaui.dll è un loader leggero, di soli 4 KB nella variante dell'ottobre 2025, progettato per un unico scopo: decriptare ed eseguire il terzo file, cnmplog.dat. Tale file è un blob crittografato con RC4 contenente il trojan di accesso remoto PlugX. Il loader lo decrittografa utilizzando una chiave hardcoded di 16 byte e mappa il payload risultante direttamente nello spazio di memoria del processo legittimo cnmpaui.exe.
Da quel momento in poi, PlugX viene eseguito all'interno di un file binario firmato e considerato affidabile. Si assicura la persistenza tramite una chiave di avvio del Registro di sistema denominata "CanonPrinter", crea directory nascoste con nomi come "SamsungDriver" o "DellSetupFiles" per mimetizzarsi nell'ambiente e comunica con l'infrastruttura di comando e controllo tramite HTTPS sulla porta 443, utilizzando percorsi URL casuali e una stringa user-agent di Internet Explorer falsificata per confondersi con il normale traffico web.
Dal primo clic fino all'attivazione della backdoor, a prima vista nulla in questa sequenza sembrava palesemente dannoso, e la maggior parte dei comportamenti realmente sospetti si manifestava solo durante l'esecuzione. Ogni fase era stata progettata per apparire normale a un'analisi statica e per essere eseguita in punti non controllati dai filtri tradizionali.
Perché le difese statiche hanno difficoltà con questa catena
Le difese statiche hanno difficoltà a contrastare questa catena perché ogni fase è progettata per apparire innocua se considerata singolarmente. Ciò che rende efficace la campagna non è un singolo file palesemente dannoso, bensì una sequenza di componenti dall'aspetto affidabile il cui vero intento diventa visibile solo al momento dell'esecuzione. Questo schema non si limita ai file di collegamento: gli autori degli attacchi hanno anche nascosto payload in file immagine apparentemente innocui, abbinandoli a un sistema di distribuzione basato su file LNK per eludere il rilevamento da parte dei tradizionali antivirus.
Perché le difese statiche hanno difficoltà con questa catena
| Palcoscenico | Ciò che vede il difensore | Perché supera l'ispezione |
|---|---|---|
| File LNK dannoso | Un file di collegamento da 2,58 KB relativo a un incontro diplomatico | I file LNK sono considerati a basso rischio per impostazione predefinita; la vulnerabilità ZDI-CAN-25373 nasconde il comando PowerShell dietro una serie di spazi bianchi che la maggior parte degli strumenti di analisi dei metadati non analizza. |
| Firmato Canon EXE | Un file binario PE32 autentico, provvisto di una firma digitale valida e contrassegnata da data e ora, rilasciata da un editore riconosciuto | Bloccarlo segnalerebbe come sospetto ogni ambiente in cui è in esecuzione il software di una stampante Canon. I motori di reputazione non hanno motivo di diffidarne. |
| DLL di caricamento da 4 KB | Una DLL minimale, priva di importazioni palesemente sospette, il cui unico compito è leggere, decriptare e trasferire l'esecuzione | Le regole YARA sono in grado di individuare le varianti note, ma un caricatore ricompilato con una chiave o una routine di decrittografia diversa sfugge alla copertura statica. |
| Payload crittografato di PlugX | Un blocco di dati .dat opaco che non viene mai salvato su disco in forma decriptata | La scansione basata sui file non esamina mai il malware vero e proprio. Il payload viene caricato direttamente nello spazio di memoria del processo Canon considerato affidabile. |
È proprio in quel divario tra ciò che gli strumenti statici sono in grado di analizzare e ciò che accade realmente durante l'esecuzione che prosperano le campagne evasive. Per colmare tale divario è necessario un approccio di rilevamento in grado di monitorare l'intero percorso di esecuzione, dall'avvio iniziale del file fino a ogni fase successiva, e di formulare un giudizio basato sul comportamento piuttosto che sull'apparenza.
Come MetaDefender mette a nudo l'intera catena
MetaDefender è la soluzione unificata OPSWAT per il rilevamento delle vulnerabilità zero-day, che combina quattro livelli di analisi per esaminare ogni file da diverse prospettive prima di fornire un unico verdetto attendibile.
- La valutazione della reputazione delle minacce confronta gli hash, i metadati e gli indicatori incorporati nel file con le informazioni globali ricavate da oltre 50 miliardi di indicatori. In questo contesto, ciò contribuisce a identificare ciò che è già noto e a fornire un contesto a ciò che non lo è.
- Adaptive esegue quindi il file in un ambiente emulato e ne osserva la sequenza di esecuzione: il file LNK che avvia PowerShell, il comando codificato che decodifica un archivio tar, il binario Canon firmato che carica una DLL non firmata e il payload PlugX decriptato che stabilisce la persistenza e si connette all'infrastruttura C2 (comando e controllo).
- Il punteggio di minaccia combina tali risultati, i segnali di reputazione e gli indicatori estratti in un punteggio di rischio ponderato che tiene conto dell'intero contesto comportamentale.
- La ricerca di somiglianze basata sull'apprendimento automatico confronta il file e il suo comportamento con famiglie di malware note e attività correlate, contribuendo a individuare collegamenti con varianti di PlugX o campagne simili di sideloading di DLL.
Nel complesso, la soluzione garantisce un'efficacia di rilevamento degli attacchi zero-day fino al 99,9% e fornisce un unico verdetto attendibile per ogni file, evitando agli analisti del SOC di dover riconciliare manualmente rapporti separati. Questo aspetto è fondamentale quando i team devono valutare centinaia di file al giorno provenienti da e-mail, MFT, ICAP, chioschi, sistemi di archiviazione e flussi di lavoro interdominio.
Un elemento chiave che contraddistingue questa catena è l'emulazione a livello di istruzione. Le sandbox tradizionali basate su VM possono non rilevare il malware che utilizza tecniche di elusione anti-VM, ritardi temporali e controlli dell'ambiente per impedire l'esecuzione completa. Il sandboxing adattivo MetaDefender emula il comportamento della CPU e del sistema operativo a livello di istruzione, contribuendo a smascherare l'intera sequenza di sideloading da LNK a PowerShell a DLL.
Per i team SOC, il vantaggio è concreto:
- Triage più rapido, poiché il verdetto è già stato correlato e mappato secondo lo schema MITRE
- Decisioni di blocco più rigorose, poiché il verdetto riflette il comportamento in fase di esecuzione anziché limitarsi alla reputazione statica
- Riduzione dei falsi positivi, poiché MetaDefender è in grado di distinguere tra un file binario legittimo e firmato oggetto di abuso e un payload effettivamente dannoso
- Migliore preparazione alle vulnerabilità zero-day nei punti di acquisizione dei file attraverso i quali questi attacchi penetrano nell'ambiente
Come la tecnologia Deep CDR™ neutralizza il fattore scatenante
La tecnologia Deep CDR™ interrompe questa catena prima ancora che abbia inizio, neutralizzando il file che dà il via a tutto. Mentre MetaDefender rivela cosa fa un file dannoso durante l'esecuzione, la tecnologia Deep CDR™ contribuisce a garantire che il file non abbia mai la possibilità di essere eseguito.
Il meccanismo è specifico del funzionamento degli attacchi basati su LNK. Un collegamento rapido compromesso nasconde il proprio intento dannoso negli argomenti della riga di comando incorporati, in questo caso l'invocazione PowerShell codificata che decodifica l'archivio tar e avvia la catena di payload. La tecnologia Deep CDR™ identifica tale comando incorporato e lo sostituisce con un comando fittizio innocuo, preservando il collegamento rapido in forma pulita e neutralizzandone al contempo la capacità di fungere da innesco dell'attacco.
Il risultato è un flusso di lavoro LNK "ripulito", in cui il comportamento dannoso originario viene neutralizzato prima dell'esecuzione. Nessuna esecuzione di PowerShell, nessuna estrazione di archivi, nessun sideloading di DLL, nessun PlugX. Insieme, MetaDefender e la tecnologia Deep CDR™ creano un modello di difesa a due livelli.
Modello di difesa a due livelli
| Livello | Tecnologia | Ruolo |
|---|---|---|
| Individuare e comprendere | MetaDefender | Analizza il file, rileva l'intero percorso di esecuzione in più fasi, estrae gli indicatori di compromissione (IOC) comportamentali e restituisce un unico verdetto attendibile. |
| Disinnescare e prevenire | Tecnologia Deep CDR™ | Neutralizza il comando LNK dannoso, impedendo l'esecuzione del collegamento. |
Questa distinzione è importante nella pratica. MetaDefender è la soluzione per il rilevamento delle minacce zero-day nei file che richiedono un'analisi approfondita, soprattutto quando l'obiettivo è comprendere il comportamento in fase di esecuzione e formulare un giudizio certo. La tecnologia Deep CDR™ rappresenta il controllo di sanificazione e prevenzione per i file il cui contenuto può essere neutralizzato in modo sicuro senza comprometterne l'uso legittimo. Insieme, queste soluzioni affrontano entrambi gli aspetti del problema: comprendere come agisce una minaccia e garantire che non ne abbia mai l'opportunità.
Perché la precisione è importante
La precisione è fondamentale perché non tutti i file presenti in una catena di attacco sono dannosi, e trattarli tutti allo stesso modo porta a un rilevamento eccessivamente ampio che mina la fiducia nei vostri strumenti. Questa campagna lo dimostra chiaramente.
L'utilità firmata per stampanti Canon (cnmpaui.exe) è un file binario legittimo. È dotata di una firma digitale valida, gode di una reputazione ineccepibile e presenta un hash associato a software legittimo. Contrassegnarla come dannosa genererebbe falsi positivi negli ambienti in cui è installato il software per stampanti Canon e indurrebbe gli analisti del SOC a diffidare degli avvisi che ricevono.
I principali IOC (indicatori di compromissione) sono la DLL dannosa (cnmpaui.dll) e la sequenza di comportamenti che essa consente:
- Caricamento laterale e decrittografia di un payload crittografato con una chiave RC4 hardcoded
- Mappatura del file binario PlugX decriptato nello spazio di memoria di un processo attendibile
- Impostazione della persistenza tramite la chiave di esecuzione "CanonPrinter"
- Avvio del traffico C2 HTTPS con percorsi URL casuali e una stringa user-agent falsificata
Questi sono i segnali più importanti, e emergono solo quando uno strumento di rilevamento è in grado di osservare il comportamento e distinguere tra un file binario affidabile utilizzato in modo improprio e un file effettivamente dannoso.
È proprio qui che l'unico verdetto affidabile MetaDefender assume particolare valore. Anziché attribuire un'etichetta generica di "malizioso" a tutti i file della catena, la pipeline di rilevamento assegna un punteggio a ciascun componente in base al comportamento osservato nel contesto di esecuzione completo.
Il file EXE firmato viene riconosciuto come un binario legittimo utilizzato per il sideloading. La DLL e il comportamento in fase di esecuzione che essa genera vengono segnalati come la vera minaccia. Questa distinzione offre ai team di sicurezza un quadro più chiaro e riduce lo sforzo manuale necessario per distinguere i segnali utili dal rumore di fondo.
Il rilevamento statico della DLL dannosa può essere ulteriormente potenziato con regole mirate come YARA; le firme YARA pubblicate da Arctic Wolf per il loader CanonStager rappresentano un utile punto di partenza. Tuttavia, la copertura basata sulle firme è per sua natura reattiva. In una catena come questa, ciò che fa davvero la differenza è la visibilità comportamentale unita alla neutralizzazione dei file.
Applicazione della sicurezza dei file a più livelli per individuare le catene di attacchi basate su file LNK
Gli attacchi basati sui file LNK continuano a funzionare perché sfruttano un tipo di file che le persone vedono ogni giorno e che raramente considerano pericoloso. In un articolo precedente, abbiamo sottolineato che i file LNK sono normali collegamenti di Windows che gli aggressori possono trasformare in armi nascondendo al loro interno comandi PowerShell o cmd.exe, a volte in modi che sembrano innocui finché il file non viene effettivamente aperto. Questo è esattamente il motivo per cui campagne come quella di UNC6384 continuano ad avere successo: il collegamento sembra familiare, ma il comportamento che innesca è tutt'altro che tale.
Questo schema si è ripetuto in diverse campagne. Nella nostra analisi su Emotet, abbiamo spiegato perché i file di collegamento fossero difficili da distinguere dai normali documenti e che la loro estensione non venisse visualizzata di default in Windows. Ciò li rendeva particolarmente efficaci come vettori di diffusione. La lezione da trarne è la stessa: gli autori degli attacchi non hanno bisogno di ricorrere a trucchi innovativi quando un tipo di file ben noto può ancora infiltrarsi nei flussi di lavoro quotidiani e innescare una catena di infezione a più fasi.
La soluzione non consiste nell'etichettare come dannoso ogni singolo file della catena. Si tratta piuttosto di applicare una sicurezza dei file a più livelli in grado di rivelare il comportamento in fase di esecuzione, distinguere tra un file binario legittimo utilizzato in modo improprio e un payload dannoso, e bloccare il trigger prima che si attivi. Rivolgiti a un OPSWAT per scoprire come MetaDefender e la tecnologia Deep CDR™ possano aiutare il tuo team a rilevare, analizzare e prevenire gli attacchi basati su file LNK.
