11 Luglio 2026
HomeAttualitàArmenia sotto attacco spia di OxtaRAT

Armenia sotto attacco spia di OxtaRAT

Alcuni enti in Armenia sono stati oggetto di un attacco informatico utilizzando una versione aggiornata di una Backdoor chiamato OxtaRAT, che consente l’accesso remoto e la sorveglianza del sistema.

Le funzionalità dello strumento includono la ricerca e l’esfiltrazione di file dal computer infetto, la registrazione video dalla webcam e dal desktop, il controllo remoto della macchina compromessa con TightVNC, l’installazione di una shell web, la scansione delle porte e altro ancora“, ha dichiarato Check Point Research in un rapporto.

Si dice che l’ultima campagna sia iniziata nel novembre 2022 e segni la prima volta che i gruppi dietro all’attività hanno espanso il loro focus oltre l’Azerbaigian.

Da diversi anni i gruppi dietro a questi attacchi hanno preso di mira organizzazioni per i diritti umani, dissidenti e media indipendenti in Azerbaigian“, lo ha spiegato la società di sicurezza informatica, definendo la campagna Operazione Silent Watch.

Le intrusioni del 2022 sono significative, non solo a causa dei cambiamenti nella catena di infezione, ma anche delle misure adottate per migliorare la sicurezza operativa ed equipaggiare la Backdoor con maggiori mezzi a disposizione.

Il punto di partenza della sequenza di attacco è un archivio autoestraente che imita un file PDF e presenta un’icona PDF. L’avvio del presunto “documento” apre un file esca, mentre esegue in modo furtivo il codice maligno nascosto all’interno di un’immagine.

Un file poliglotta che combina uno script AutoIT compilato e un’immagine, OxtaRAT presenta comandi che permettono all’autore della minaccia di eseguire comandi e file aggiuntivi, raccogliere informazioni sensibili, eseguire ricognizioni e sorveglianza tramite una webcam e persino passare ad altri dispositivi.

OxtaRAT è stato utilizzato fin dal giugno 2021, anche se con funzionalità significativamente ridotte, questo indica un tentativo di aggiornare costantemente il set di strumenti e trasformarlo in un malware “coltellino svizzero”.

L’attacco di novembre 2022 si distingue anche per alcune ragioni. La prima è che i file .SCR che attivano la catena di attacco contengono già l’impianto OxtaRAT anziché agire come downloader per recuperare il malware.

Questo evita agli attori la necessità di effettuare ulteriori richieste di file binari al server C&C e di attirare attenzioni inutili, nonché nasconde il malware principale dall’essere facilmente scoperto sulla macchina infetta, poiché sembra un’immagine normale e supera le protezioni specifich“, ha spiegato Check Point.

Il secondo aspetto sorprendente è la geofencing dei domini di controllo e comando che ospitano gli strumenti ausiliari agli indirizzi IP armeni.

È anche importante la capacità di OxtaRAT di eseguire comandi per la scansione delle porte e per testare la velocità di una connessione Internet, quest’ultima probabilmente utilizzata come modo per nascondere l’estesa esfiltrazione di dati.

OxtaRAT, che in precedenza aveva principalmente capacità di ricognizione e sorveglianza locali, può ora essere utilizzato come pivot per la ricognizione attiva di altri dispositivi“, ha detto Check Point.

Questo potrebbe indicare che gli autori della minaccia si stanno preparando ad estendere il loro principale vettore di attacco, che attualmente è l’ingegneria sociale, agli attacchi basati sull’infrastruttura. Potrebbe anche essere un segnale che gli autori si stanno spostando dal targeting di individui a targeting di ambienti più complessi o aziendali“.

Gli autori della minaccia hanno mantenuto lo sviluppo di malware basati su Auto-IT negli ultimi sette anni, e lo stanno utilizzando in campagne di sorveglianza il cui obiettivo è coerente con gli interessi azeri.”

Luigi Alberto Pinzi
Luigi Alberto Pinzihttps://www.alground.com
Esperto nei più avanzati sistemi di crittografia e da anni impegnato nell'arte del Reverse Engineering, Luigi è redattore freelance con una predilizione particolare per gli argomenti in materie legali.
Altri articoli

TI POSSONO INTERESSARE

Stati Uniti e Iran continuano i colloqui

Donald Trump ha annunciato che Stati Uniti e Iran hanno concordato di proseguire i colloqui, ma ha dichiarato che la tregua è ormai finita,...

L’occhio di Bruxelles sulle chat: l’Europa al bivio tra protezione e sorveglianza di massa

L'intersezione tra la tutela dei minori e il diritto fondamentale alla privacy digitale rappresenta una delle sfide legislative e tecnologiche più complesse del ventunesimo...

La Cpu migliore? Ryzen 9 9950X3D contro Core Ultra 9 285K

Il 2026 è l’anno in cui il mercato delle CPU desktop ha smesso di essere una guerra di numeri di core e ha iniziato...

Vannacci: potrei votare Meloni al Quirinale

Roberto Vannacci, ex generale e oggi protagonista della nuova destra “identitaria”, ha aperto pubblicamente alla possibilità di votare Giorgia Meloni al Quirinale, inserendosi così...

L’America rischia di perdere la guerra del futuro

Per oltre trent’anni gli Stati Uniti hanno vissuto nella convinzione di possedere un vantaggio militare strutturale, quasi intoccabile.Dalla Guerra del Golfo in poi, le...

Starmer si dimette: Andy Burnham si prepara a prendere il controllo di Downing Street

A meno di due anni dalla trionfale vittoria elettorale che aveva riportato il Labour al governo dopo la lunga stagione conservatrice, Keir Starmer ha...

Claude Mythos 5 e Fable 5: capacità, pericoli e vulnerabilità dell’AI di frontiera

La genesi dei modelli di classe Mythos e la strategia di rilascio di Anthropic Il panorama globale dell'intelligenza artificiale di frontiera è stato scosso il...

Patto migratorio o remigrazione? Le nuove norme

L'Europa chiude le porte: come il Patto Migratorio del 2026 sta riscrivendo le regole dell'asilo e del rimpatrio Nell'arco di pochi mesi, l'Unione Europea ha...

Trump spegne Fable e Mythos: così la sicurezza nazionale ridisegna la mappa dell’intelligenza artificiale

Gli Stati Uniti hanno ordinato lo spegnimento globale di Fable 5 e Mythos 5, i modelli di intelligenza artificiale più avanzati di Anthropic, nel...