Kong RAT: la nuova campagna di SEO poisoning con dropper NativeAOT .NET 10 che prende di mira gli sviluppatori cinesi
@Informatica (Italy e non Italy)
eSentire TRU ha documentato Kong RAT, un impianto modulare distribuito via installer contraffatti di FinalShell, Xshell, QuickQ e Clash. La catena a sei stadi sfrutta un dropper
Kong RAT: la nuova campagna di SEO poisoning con dropper NativeAOT .NET 10 che prende di mira gli sviluppatori cinesi
Si parla di:
Toggle
- Il panorama: SEO poisoning come vettore strategico verso la Cina
- La kill chain in sei stadi
- Tecniche di evasione: il dettaglio che conta
- Post-exploitation e telemetria raccolta
- Attribuzione e contesto
- Indicatori di compromissione
- Raccomandazioni per i difensori
Una nuova campagna di SEO poisoning documentata da eSentire TRU sta prendendo di mira sviluppatori e professionisti IT di lingua cinese con Kong RAT, un impianto modulare distribuito attraverso installer contraffatti di strumenti molto diffusi nell’ecosistema sinofono: FinalShell, Xshell, QuickQ e Clash. La catena di infezione, articolata in sei stadi, abusa di Alibaba Cloud OSS per ospitare i payload di prima fase e combina tecniche di evasione avanzate — da PEB masquerading al bypass UAC tramite CMSTPLUA COM — che la pongono in una fascia qualitativa superiore rispetto alle classiche campagne Gh0st/kkRAT viste nel 2025.Il panorama: SEO poisoning come vettore strategico verso la Cina
Il SEO poisoning è diventato negli ultimi diciotto mesi uno dei vettori preferiti dagli attori di lingua cinese per colpire il mercato domestico, quasi sempre perché il Great Firewall rende difficile l’accesso ai canali di distribuzione occidentali e spinge utenti e sviluppatori a cercare software tecnici tramite motori di ricerca locali, dove il ranking manipolato porta a domini typosquatted praticamente indistinguibili dagli originali. La telemetria pubblica degli ultimi mesi ha mostrato HiddenGh0st, Winos/ValleyRAT, FatalRAT e kkRAT diffusi con lo stesso schema, con landing page clone di DeepL, Chrome, Signal, Telegram e WPS Office. Kong RAT rappresenta il naturale salto di qualità: un impianto custom scritto ex-novo, non derivato da Gh0st, con un proprio protocollo C2 e un’architettura modulare a plug-in.La scelta dei “software-esca” è particolarmente chirurgica. FinalShell e Xshell sono client SSH/terminale ampiamente utilizzati da sysadmin e DevOps cinesi; QuickQ e Clash sono utility di rete comunemente associate ad ambienti tecnici. Compromettere questi utenti significa posizionare la backdoor esattamente dove serve: su macchine che hanno credenziali verso server di produzione, bastion host, reti aziendali.
La kill chain in sei stadi
La catena di esecuzione è quella che distingue Kong RAT dalle precedenti campagne di SEO poisoning sinofone. eSentire ha ricostruito sei stadi distinti, ognuno progettato per ridurre la superficie di rilevamento al passaggio successivo:
- SEO poisoning e landing page contraffatte (finalshell-ssh.com, xshell-cn.com, quickq-cn.com, clash-cn.com) posizionate in cima ai risultati di ricerca tramite tecniche di manipolazione del ranking.
- Dropper NativeAOT in .NET 10.0. Il Setup.exe iniziale è compilato con NativeAOT, la modalità di compilazione ahead-of-time introdotta con .NET 10: il risultato è un binario privo delle tipiche strutture metadata IL del CLR, quindi non analizzabile con gli strumenti classici per .NET (dnSpy, ILSpy, de4dot). È una scelta che spezza la pipeline di reverse engineering di molti analisti.
- Orchestratore DLL in-memory che risolve e carica i componenti successivi senza mai toccare il disco.
- DLL sideloading su rc.exe, il Microsoft Resource Compiler firmato, che carica una rcdll.dll malevola.
- Shellcode loader tramite callback di EnumWindows: lo shellcode viene eseguito come callback dell’API di enumerazione finestre, aggirando i monitor che agganciano CreateThread/NtCreateThreadEx.
- Kong RAT eseguibile: l’impianto finale, con C2 TCP proprietario su MPK1, compressione LZ4 e meccanismo di plug-in.
Tecniche di evasione: il dettaglio che conta
Gli operatori di Kong RAT dimostrano familiarità con la moderna superficie di detection EDR. Quattro punti meritano particolare attenzione.PEB masquerading come explorer.exe. Prima di eseguire le routine malevole, il loader riscrive le strutture del Process Environment Block per far apparire il processo come explorer.exe. Molti prodotti di rilevamento ragionano su liste di processi “attesi” o su reputation: mascherarsi da explorer.exe riduce il segnale verso il SOC.
UAC bypass silente via CMSTPLUA COM. L’abuso dell’interfaccia COM CMSTPLUA è noto dal 2019 ma resta efficace: la shell malevola ottiene privilegi elevati senza prompt grazie all’auto-elevation dell’oggetto COM, senza dover ricorrere a UAC bypass più rumorosi come fodhelper.exe.
Shellcode tramite EnumWindows. Utilizzare una callback API come dispatcher di shellcode è una tecnica di living-off-the-land meno comune delle più note indirizzazioni (QueueUserAPC, SetWindowsHookEx) e aggira l’instrumentation di molti EDR che vigilano sulle primitive di creazione thread.
Persistenza via RPC diretto. Invece di invocare schtasks.exe — che molti SOC monitorano come marker comportamentale — Kong RAT registra task pianificati chiamando direttamente le RPC del Task Scheduler, con nomi del pattern
SimpleActivityScheduleTimer_{GUID}. La configurazione finisce inHKCU\Software\KongClient.Post-exploitation e telemetria raccolta
Una volta insediato, Kong RAT attiva un keylogger basato su GetAsyncKeyState che scrive in chiaro suC:\ProgramData\KongKeylogger.txt, esegue enumerazioni WMI per mappare i prodotti di sicurezza installati e preleva dati di geolocalizzazione via CDN LeTV. Il payload è modulare: plug-in aggiuntivi possono essere caricati dinamicamente dal C2 tramite il protocollo MPK1 su porta TCP 5947, e la configurazione dei plug-in è persistita in registro sottoHKCU\Software\KongClient\Plugins. Il framework supporta anche C2 migration, una caratteristica che aumenta la resilienza dell’infrastruttura contro takedown parziali.Attribuzione e contesto
Il percorso PDB di alcuni sample contiene il riferimento all’utente 52pojie, nickname riconducibile alla nota community cinese di reverse engineering 52pojie.cn. È un indizio debole — potrebbe essere una false flag — ma coerente con la targeting cinese e con la lingua delle landing page. L’infrastruttura C2 (x.x-x[.]icu:5947, risolta su45.192.208.126, ASN Antbox Networks Hong Kong) e l’uso di Alibaba Cloud OSS di Hong Kong come stage server rafforzano l’ipotesi di un attore radicato nell’ecosistema APAC, presumibilmente non direttamente state-sponsored ma al servizio di finalità di raccolta credenziali e accesso iniziale rivendibile.Indicatori di compromissione
# Domini di distribuzione finalshell-ssh.com xshell-cn.com quickq-cn.com clash-cn.com # Infrastruttura C2 x.x-x[.]icu:5947 45.192.208.126 (Antbox Networks, Hong Kong) # URL di stage kkwinapp.oss-cn-hongkong.aliyuncs.com/dow/zj.mp4 # SHA-256 Setup.exe D6620D753E746E63B59E1E47943BE5093F24FD3F82E994115CADEEA3720F1AEA rcdll.dll 2B7D31A83FF817BE7BDD6E9CF92DEA438CA97DC93EA84CBF048F8656F7DD57DD # Persistenza %LOCALAPPDATA%\Programs\Bvasted HKCU\Software\KongClient\LoginPermanent HKCU\Software\KongClient\Plugins C:\ProgramData\KongKeylogger.txt Scheduled Task: SimpleActivityScheduleTimer_{GUID}Raccomandazioni per i difensori
La campagna Kong RAT ha tre implicazioni concrete per i team di sicurezza, anche al di fuori del perimetro sinofono. Primo: il DLL sideloading su rc.exe è un pattern che qualunque regola EDR dovrebbe coprire, insieme al monitoraggio delle registrazioni task scheduler via RPC anziché via processo schtasks. Secondo: i binari compilati con NativeAOT in .NET 10 renderanno obsoleti i playbook di reverse basati sul CLR classico — gli analisti devono attrezzarsi con strumenti di disassembly nativo (Ghidra, IDA Pro, Binary Ninja) e familiarizzare con le convenzioni di chiamata di NativeAOT. Terzo: il monitoraggio di GetAsyncKeyState in combinazione con scritture inC:\ProgramDatacontinua a essere un indicatore comportamentale molto efficace, ma solo se integrato nei playbook di hunting e non delegato alla sola signature.Sul fronte preventivo, le organizzazioni con dipendenti o fornitori cinesi dovrebbero considerare block-list dei quattro domini sopra citati e verificare che nessuno abbia scaricato installer di FinalShell/Xshell/QuickQ/Clash al di fuori dei mirror ufficiali. Per i CERT italiani con controparti manifatturiere in Asia, la campagna rappresenta un vettore realistico di compromissione della supply chain attraverso il laptop di un consulente o di un partner locale.
Kong RAT: la nuova campagna di SEO poisoning con dropper NativeAOT .NET 10 che prende di mira gli sviluppatori cinesi - (in)sicurezza digitale
eSentire TRU ha documentato Kong RAT, un impianto modulare distribuito via installer contraffatti di FinalShell, Xshell, QuickQ e Clash. La catena a sei stadi sfrutta un dropper NativeAOT in .Dario Fadda ((in)sicurezza digitale)