Sviluppo di Malware Custom: Develop Capabilities – Malware (T1587.001)

Simulare lo sviluppo di malware custom in un contesto red team non significa creare una minaccia reale, ma replicare i comportamenti che i SOC devono imparare a riconoscere. L'obiettivo è produrre artefatti che generino telemetria utile, testando la capacità di detection dell'organizzazione.

Il punto di partenza più realistico è costruire un payload C2 con un framework dedicato. Sliver (open source) è una scelta eccellente perché genera impianti compilati con metadati unici — esattamente ciò che fa un APT quando sviluppa un tool custom. Per generare un beacon HTTPS con offuscamento:

sliver > generate --mtls --os windows --arch amd64 --format exe --name test-implant

Per simulare lo sviluppo di un dropper multi-stage, che è il pattern usato in campagne come Operation Dream Job (C0022) dove Lazarus Group sviluppò tool come Sumarta e DBLL Dropper, puoi creare un loader in C che scarica e inietta shellcode in memoria. Il framework Havoc (open source) fornisce un generatore di shellcode e un listener C2 con profili configurabili per emulare diversi protocolli.

Un aspetto spesso trascurato è la simulazione del packaging. Molti gruppi usano packer custom per evadere la detection statica. Con UPX (open source) puoi comprimere un payload e verificare se le signature-based detection del cliente lo rilevano ancora:

upx --best --lzma -o payload_packed.exe payload.exe

Per replicare scenari più sofisticati come quelli di UNC3886 (G1048), che ha deployato malware custom su sistemi Fortinet e VMware, valuta l'uso di msfvenom (open source, parte di Metasploit Framework) per generare payload cross-platform, poi testa il delivery su ambienti virtualizzati di laboratorio.

La creazione di webshell custom — come quelle sviluppate durante Operation Wocao (C0014) — è un altro esercizio realistico. Scrivi una webshell minimale in PHP o ASPX, caricala su un server web nel lab e verifica se il WAF e l'EDR del cliente la intercettano. Il confronto tra una webshell nota e una custom rivela rapidamente i gap nella detection.

Infine, per simulare la tecnica dei media rimovibili infetti usata da FIN7 (G0046), prepara una chiavetta USB con un file HTA o LNK malevolo che lancia un payload Sliver, e testa le policy di autorun e i controlli USB dell'organizzazione. Documenta ogni artefatto generato — hash, timestamp di compilazione, stringhe embedded — perché saranno il materiale di lavoro per SOC e forensic.

La sfida principale è chiara: lo sviluppo di malware avviene fuori dal perimetro aziendale. Non vedrai mai l'attore compilare il suo payload. Ciò che puoi intercettare è il momento in cui quel malware entra nella tua rete e inizia ad operare. La detection, quindi, deve concentrarsi sugli indicatori indiretti e sulle anomalie comportamentali che tradiscono un tool sconosciuto.

Il primo livello di difesa è il monitoraggio dei Malware Repository. Configura feed automatici da servizi come MalwareBazaar (gratuito) e integra gli IoC nel tuo SIEM. La piattaforma MISP (open source) permette di correlare hash, domini C2 e pattern di comunicazione con campagne note. Quando un sample viene sottomesso su VirusTotal (freemium) con zero detection ma comportamento sospetto, è un segnale forte di malware custom — esattamente il tipo di artefatto sviluppato dai gruppi documentati in questa tecnica.

A livello endpoint, concentra la detection su comportamenti generici piuttosto che su signature statiche. Un malware custom per definizione non ha firme note. Configura regole per:

• Process injection — monitorando EventCode 8 (CreateRemoteThread) e EventCode 10 (ProcessAccess) in Sysmon
• Connessioni di rete anomale — processi non firmati che stabiliscono connessioni HTTPS verso IP o domini senza storico (Sysmon EventCode 3)
• Esecuzione da percorsi inusuali — payload lanciati da directory temporanee, profili utente o media rimovibili

Per i falsi positivi, il problema principale sono i software legittimi che comunicano verso endpoint poco noti. Crea una whitelist basata sul publisher del certificato digitale e sul volume storico di connessioni. Un processo firmato da un vendor noto che contatta il proprio CDN non è la stessa cosa di un eseguibile non firmato, compilato nelle ultime 48 ore, che apre un socket verso un VPS.

Un controllo preventivo efficace è l'implementazione di application whitelisting tramite Windows Defender Application Control (WDAC) o AppLocker. Qualsiasi malware custom — non essendo firmato né presente nelle policy — verrà bloccato all'esecuzione. Affianca questo con il monitoraggio DNS: i protocolli C2 custom spesso usano pattern DNS anomali (query lunghe, encoding in base64 nei sottodomini, beacon regolari) che strumenti come Zeek (open source) rilevano con facilità.

Quando il malware è custom, l'analisi forense diventa un lavoro artigianale. Non troverai match nelle signature pubbliche, e i report automatizzati dei sandbox diranno poco. Il valore aggiunto del forensic analyst sta nella capacità di estrarre metadati, correlare artefatti e ricostruire la catena di sviluppo.

Il primo passo è l'analisi statica del sample. Con Ghidra (open source) o IDA Free (gratuito) decompila il binario e cerca indicatori dello sviluppo: stringhe di debug, percorsi PDB, timestamp di compilazione nel PE header, e librerie collegate staticamente. Il campo TimeDateStamp nell'header PE — estraibile con python-pefile (open source) tramite il comando:

python -c "import pefile; pe=pefile.PE(''); print(pe.FILE_HEADER.dump())"

fornisce l'orario dichiarato di compilazione, che va confrontato con il fuso orario operativo del gruppo sospetto. Attenzione: gruppi sofisticati come APT29 (G0016) alterano deliberatamente questi timestamp.

Per i web shell custom — come quelli usati nella campagna Operation Wocao (C0014) e nell'attività Versa Director Zero Day Exploitation (C0039) con la webshell VersaMem — gli artefatti chiave risiedono nei log del web server. Cerca richieste POST anomale verso file con estensioni inattese o verso percorsi non documentati nell'applicazione. Nei file system NTFS, l'analisi della $MFT con tool come MFTECmd (open source, parte di Eric Zimmerman's Tools) rivela i timestamp di creazione dei file malevoli:

MFTECmd.exe -f <percorso-$MFT> --csv

L'attività di RedPenguin (C0056) offre un caso emblematico: UNC3886 ha deployato versioni custom della backdoor TINYSHELL su router Juniper MX Series. In scenari simili, gli artefatti non sono su filesystem Windows ma su dispositivi di rete. L'acquisizione della memoria e del firmware del dispositivo compromesso diventa essenziale: confronta l'hash dell'immagine firmware con quello ufficiale del vendor per identificare modifiche.

Per la correlazione tra campagne, le regole YARA (open source) sono lo strumento d'elezione. Scrivi regole basate su stringhe uniche, sequenze di byte nel codice, o pattern strutturali del binario. Il repository YARA-Rules su GitHub offre template per famiglie note. Quando identifichi un sample, sottomettilo ai servizi di threat intelligence per cercare varianti: la SolarWinds Compromise (C0024) ha dimostrato come un singolo attore — APT29 — possa sviluppare famiglie completamente distinte (SUNBURST, SUNSPOT, Raindrop, TEARDROP) per diverse fasi della stessa operazione.

Lo sviluppo di malware custom è un indicatore di maturità operativa. Non tutti i gruppi investono nello sviluppo in-house: quelli che lo fanno rivelano molto su risorse, obiettivi strategici e livello di sofisticazione. Analizzando i 22 gruppi associati a questa tecnica, emergono pattern significativi.

APT29 (G0016) rappresenta l'apice della complessità nello sviluppo malware. Nella SolarWinds Compromise (C0024, agosto 2019 – gennaio 2021) ha creato quattro famiglie distinte — SUNBURST, SUNSPOT, Raindrop e TEARDROP — ciascuna con un ruolo specifico nella catena di compromissione supply-chain. Nella precedente Operation Ghost (C0023, settembre 2013 – ottobre 2019), il gruppo aveva già dimostrato questa capacità con FatDuke, MiniDuke, RegDuke e PolyglotDuke. Questo schema — malware modulare, famiglie dedicate per campagna, infrastruttura C2 unica per vittima — è la firma operativa di APT29.

Lazarus Group (G0032) mostra una versatilità simile ma con orientamento diverso. In Operation Dream Job (C0022) ha sviluppato Sumarta, DBLL Dropper, Torisma e DRATzarus, mentre in Operation Sharpshooter (C0013) ha impiegato la backdoor modulare Rising Sun. Il pattern di Lazarus combina spionaggio e motivazione finanziaria, con tool che vengono adattati tra una campagna e l'altra. Il cluster collegato Moonstone Sleet (G1036) innova nel delivery, mascherando malware come videogiochi legittimi, mentre Contagious Interview (G1052) utilizza il framework Qt per garantire compatibilità cross-platform con BeaverTail.

Il cluster iraniano rivela un approccio distinto. OilRig (G0049) ha un ciclo di sviluppo visibile: nella campagna Outer Space (C0042, 2021) ha creato la backdoor Solar, poi nella successiva Juicy Mix (C0044, 2022) l'ha evoluta nel più avanzato Mango. Moses Staff (G1009) ha sviluppato DCSrv e PyDCrypt con finalità distruttive, non di spionaggio. Cleaver (G0003) si distingue per la gamma eccezionale di tool custom — dall'ARP poisoning alle webshell ASP.NET, dallo sniffing di rete al keystroke logging — suggerendo un team di sviluppo dedicato con competenze diversificate.

Sandworm Team (G0034) combina capacità distruttive di livello strategico (NotPetya, Olympic Destroyer) con tool per operazioni mirate, incluse applicazioni mobile malevole. La campagna Triton Safety Instrumented System Attack (C0030) ha dimostrato che lo sviluppo malware può richiedere accesso a hardware e software industriali specializzati — un investimento che indica un mandante statale con risorse significative.

Sul versante delle minacce emergenti, Salt Typhoon (G1045) con il tool JumbledPath e UNC3886 (G1048) con malware per Fortinet e VMware — deployato anche nella campagna RedPenguin (C0056) su router Juniper — segnalano una tendenza chiara: lo sviluppo di malware si sta spostando verso dispositivi di rete e infrastrutture perimetrali, dove la visibilità EDR è minima.

Framework MITRE ATT&CK v16 — T1587.001, TA0042. Campagne: C0014 (Operation Wocao), C0056 (RedPenguin), C0024 (SolarWinds Compromise), C0059 (Salesforce Data Exfiltration), C0023 (Operation Ghost), C0030 (Triton Safety Instrumented System Attack), C0046 (ArcaneDoor), C0010, C0044 (Juicy Mix), C0004 (CostaRicto), C0042 (Outer Space), C0013 (Operation Sharpshooter), C0039 (Versa Director Zero Day Exploitation), C0022 (Operation Dream Job). Mitigazione: M1056. Tool di detection: Sysmon, Zeek, YARA, MISP, MFTECmd, Ghidra, pefile. Integrato con conoscenza professionale per tool e procedure operative.