Nel panorama informatico odierno, la sicurezza è diventata una delle priorità principali per le organizzazioni di tutto il mondo. Recentemente, un nuovo attacco informatico è stato scoperto da Elastic Security Labs, che ha preso di mira il ministero degli esteri di un paese sudamericano. Questo attacco è stato attribuito a un gruppo di minaccia denominato REF7707, che ha utilizzato un malware sofisticato chiamato FINALDRAFT. Questo malware è stato progettato per ottenere accesso remoto ai sistemi infettati, sfruttando la Microsoft Graph API per il controllo e il comando.

L'attività di REF7707 è stata rilevata per la prima volta nel novembre 2024 e includeva anche obiettivi come un'entità di telecomunicazioni e un'università nel sud-est asiatico. Nonostante l'abilità tecnica del malware, i gestori della campagna hanno dimostrato una gestione incoerente, esponendo debolezze nelle pratiche di evasione.

L'accesso iniziale ai sistemi compromessi non è ancora del tutto chiaro, ma è stato notato l'uso di "certutil", un'applicazione di Microsoft, per scaricare ulteriori payload da un server web associato al ministero degli esteri. Le istruzioni per il download di questi file sospetti sono state eseguite tramite il plugin di shell remota di Windows Remote Management, suggerendo che gli aggressori possedevano già credenziali di rete valide.

Il malware PATHLOADER è il primo a essere eseguito e consente l'esecuzione di shellcode crittografato ricevuto da un server esterno. Questo shellcode, chiamato FINALDRAFT, viene iniettato nella memoria di un nuovo processo "mspaint.exe". Scritto in C++, FINALDRAFT è uno strumento di amministrazione remota completo, capace di eseguire moduli aggiuntivi e di utilizzare il servizio email di Outlook per le operazioni di comando e controllo.

Tra le funzionalità del malware, vi è la capacità di avviare nuovi processi con hash NTLM rubati e di eseguire comandi PowerShell, evitando però di invocare il binario "powershell.exe". Per fare ciò, il malware altera diverse API per eludere il tracciamento degli eventi su Windows e utilizza PowerPick, un'utilità legittima parte del toolkit Empire. Inoltre, sono stati trovati artefatti del malware FINALDRAFT in formato ELF, caricati su VirusTotal da Brasile e Stati Uniti, che indicano la presenza di una variante per Linux del malware.

La sofisticazione degli strumenti e il livello di ingegneria coinvolti suggeriscono che gli sviluppatori siano ben organizzati, con una campagna probabilmente orientata all'uso per scopi di spionaggio. Gli esperti sottolineano che l'estesa durata dell'operazione e le evidenze raccolte indicano un interesse particolare a livello di intelligence.