(in)sicurezza digitale

2026-06-09 13:59:13

PulseRAT: il RAT .NET che usa Google Sheets come C2 e sfrutta il partenariato India-EAU come esca geopolitica

Si parla di:
Toggle

Un ISO caricato dagli Emirati Arabi con dentro un Remote Access Trojan inedito, progettato per nascondersi come servizio Windows legittimo e ricevere comandi da un semplice foglio Google Sheets: è PulseRAT, la nuova minaccia documentata il 6 giugno 2026 dal ricercatore DmpDump. L’esca geopolitica — la settimana della partnership strategica India-EAU, annunciata dal governo Modi nel maggio 2026 — e la catena d’infezione curata ne fanno un sample di forte interesse per la threat intelligence.

Il contesto geopolitico come vettore

Il campione è stato individuato il 19 maggio 2026, caricato su VirusTotal da un indirizzo UAE. Il file si chiama UAE-India_Strategic_Partnership_Week.iso ed è progettato per sembrare documentazione correlata alla visita di stato del Premier indiano Modi negli Emirati Arabi, durante la quale India e UAE hanno firmato accordi nel settore della difesa e dell’energia. Questo tipo di lure geopolitico — sfruttare eventi diplomatici reali per mascherare malware — è una tattica consolidata di gruppi APT, e suggerisce un operatore con sufficiente consapevolezza del contesto politico regionale per costruire un inganno credibile.

Al momento della pubblicazione dell’analisi, l’attribuzione resta aperta: il ricercatore nota analogie con artefatti legati a un host chiamato desktop-526nitv, ma non formula attribuzioni definitive a gruppi noti.

La catena d’infezione

L’ISO contiene due file:

• UAE-India_Strategic_Partnership-Week.lnk — un collegamento Windows che esegue il secondo file tramite cmd.exe. I metadati del file LNK rivelano che è stato creato su una macchina denominata desktop-526nitv.
• Document_11052026-03578240540350-93.exe — un dropper .NET compilato l’11 maggio 2026, il cui nome originale è FinalTool.exe.

Il dropper esegue le seguenti operazioni:

• Crea la directory %LOCALAPPDATA%\Microsoft\Vault\
• Estrae due risorse embedded: il payload principale (vaultsvc.exe) e un “decoy PDF” da 0 byte
• Registra un Scheduled Task denominato WindowsVaultSyncService tramite l’interfaccia COM del Task Scheduler di Windows (non via riga di comando, riducendo la visibilità nei log)
• Si auto-elimina dopo il setup

Il nome scelto per il servizio — WindowsVaultSyncService — è una tecnica classica di masquerading: nomi plausibili per processi di sistema Windows riducono la probabilità che un analista o un tool automatico sollevino un alert.

Il RAT: Google Sheets come C2

Il payload finale è un RAT .NET con una caratteristica architetturale notevole: utilizza un foglio Google Sheets come canale di command-and-control. Questa tecnica — nota come Living off Trusted Sites (LoTS) — è sempre più diffusa tra gli attori avanzati perché il traffico verso i servizi Google è raramente bloccato a livello di firewall o proxy aziendale e si confonde facilmente col traffico legittimo.

Il funzionamento documentato dal ricercatore:

• Il RAT genera un UID vittima a partire da nome utente e nome macchina
• Crea un mutex GlobalWinSync_ per evitare esecuzioni multiple
• Raccoglie informazioni di sistema tramite PowerShell in-process (systeminfo)
• Scrive i risultati e i log dei comandi eseguiti nel foglio Google Sheets dell’attaccante
• Legge i comandi dal foglio e li esegue tramite PowerShell base64-encoded
• Le stringhe critiche del RAT sono offuscate con una combinazione di base64 e XOR, decodificate a runtime dal metodo JIT

MITRE ATT&CK mapping

La catena copre diverse tecniche MITRE: T1204.002 (esecuzione file malevolo tramite LNK), T1059.001 (PowerShell), T1053.005 (Scheduled Task per persistenza), T1071.001 e T1102.001 (C2 via web service Google Sheets), T1027 (offuscamento stringhe), T1070.004 (auto-delete del dropper).

Indicatori di compromissione (IoC)

# File names
UAE-India_Strategic_Partnership_Week.iso
Document_11052026-03578240540350-93.exe
UAE-India_Strategic_Partnership-Week.lnk
vaultsvc.exe
# SHA-256 hashes
1ba67bb1cfad42446880cca53cbd05fe66d7514b2bb139b48e5c63adff14be7b  (ISO)
2cc7c2d8653c98e5bac32fcaf5e45b861efb4bb87df3b3f96285edb475e75bba  (dropper)
62d62950ff7a0e43550a5d0ba55d32d5083b9de5538e0f012e406b6d951e16aa  (RAT)
# Google Sheets C2
Spreadsheet ID: 1Lb5BEIsehbCGe8p1jkfWf5Mw1dBAcw5RHWFdga5gFq8
Service account: [redacted]@insicurezza-lab.iam.gserviceaccount.com
# Host artifact
Hostname: desktop-526nitv
# Mutex
GlobalWinSync_
# Scheduled Task
WindowsVaultSyncService

Due righe per i difensori

PulseRAT è un campione che illustra una tendenza crescente: l’abuso di infrastrutture cloud legittime (Google, OneDrive, GitHub, Slack) per il C2. Dal punto di vista difensivo, bloccare questo tipo di traffico è complesso perché si sovrappone al traffico produttivo aziendale. Alcune contromisure pratiche:

• Monitorare creazioni anomale di Scheduled Task tramite l’interfaccia COM (Event ID 4698 nei log Windows Security, con particolare attenzione a task non firmati o con path in %LOCALAPPDATA%).
• Implementare regole YARA o EDR per rilevare dropper .NET che si auto-eliminano dopo aver scritto payload in directory utente.
• Considerare il blocco o il monitoraggio stretto delle API di Google Sheets in uscita da endpoint non autorizzati a usarle.
• Bloccare il mount automatico di file ISO da fonti esterne tramite Group Policy.
• Aggiungere i hash SHA-256 riportati alle threat intel feed aziendali.

Il ricercatore DmpDump ha reso disponibile l’analisi completa sul suo blog, con screenshot del codice decompilato e della struttura del foglio Google Sheets usato come C2. La ricerca resta aperta sull’attribuzione: se hai visto sample simili, il ricercatore accetta segnalazioni per aggiornare il nome e i riferimenti alla famiglia malware.