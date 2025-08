Il gruppo di hacker nordcoreano APT37 ha sviluppato una nuova tecnica di attacco che nasconde il malware RoKRAT all’interno di normali file immagine JPEG per infiltrarsi nei sistemi Windows.

Come funziona l’attacco

La minaccia utilizza la steganografia, una tecnica che permette di nascondere del codice malevolo all’interno di immagini apparentemente innocue. Il processo di infezione segue questi passaggi:

distribuzione: le vittime ricevono degli archivi compressi che hanno dei nomi accattivanti; attivazione: l’apertura del file esegue degli script PowerShell nascosti; iniezione: il malware si inserisce nei processi Windows legittimi come mspaint.exe o notepad.exe; download: il sistema scarica il file JPEG da servizi cloud come Dropbox o Yandex, estraendo il malware nascosto al loro interno.

Perché questa tecnica è così efficace

Questa tecnica è particolarmente insidiosa perché:

i file JPEG appaiono completamente normali agli antivirus tradizionali;

il malware non viene salvato come file sul disco, rendendo difficile la rilevazione;

sfrutta dei servizi cloud legittimi come Dropbox e Yandex;

è difficile da rilevare con i sistemi di sicurezza convenzionali.

Chi è a rischio e come proteggersi

Sebbene la campagna sia stata osservata principalmente in Corea del Sud, la tecnica può essere facilmente adattata per colpire degli obiettivi in qualsiasi parte del mondo.

Sono particolarmente a rischio:

gli enti governativi e le istituzioni pubbliche;

le aziende del settore tecnologico e della difesa;

le organizzazioni con dei dati sensibili;

gli utenti che aprono frequentemente degli allegati nelle email.

Per difendersi da questo tipo di attacchi avanzati, è necessario adottare un approccio di sicurezza a più livelli.

Per le aziende:

implementare delle soluzioni EDR che monitorano il comportamento dei processi;

aggiornare costantemente tutti i sistemi e i software;

limitare i privilegi degli utenti;

monitorare proattivamente il traffico verso i servizi cloud.

Per gli utenti:

mai aprire degli allegati sospetti o provenienti da mittenti sconosciuti;

prestare particolare attenzione ai file compressi dotati di nomi accattivanti;

mantenere sempre aggiornati l’antivirus e il sistema operativo;

utilizzare degli account con privilegi limitati per l’uso quotidiano;

fare dei backup regolari dei dati importanti.

Questa scoperta evidenzia l’evoluzione delle tecniche di hacking e la necessità di adottare degli approcci di sicurezza più sofisticati.

La difesa tradizionale basata su firme non è più sufficiente: serve un monitoraggio comportamentale proattivo e una formazione continua degli utenti per contrastare delle minacce sempre più avanzate.

