Il gruppo di cybercriminali conosciuto come Patchwork è stato recentemente collegato a una sofisticata campagna di spear-phishing diretta contro aziende della difesa turca. L’obiettivo principale di questa operazione è l’acquisizione di informazioni strategiche, in particolare riguardo ai sistemi di veicoli senza pilota e tecnologie missilistiche. Patchwork, riconosciuto anche con vari altri nomi come APT-C-09, Dropping Elephant e Quilted Tiger, è considerato un gruppo sponsorizzato da uno Stato di origine indiana, attivo almeno dal 2009 e particolarmente noto per aver colpito entità in Cina, Pakistan e nel Sud-est asiatico.

La campagna di spear-phishing e le sue modalità

Nel caso turco, la campagna si distingue per l’uso di file LNK malevoli, mascherati da inviti a conferenze su sistemi UAV, inviati tramite email a organizzazioni sensibili. Questi file, se aperti, attivano una catena di infezione in cinque fasi che inizia con l’esecuzione di comandi PowerShell. Tali comandi scaricano ulteriori payload da server esterni, sfruttando un dominio creato appositamente che simula eventi e conferenze legittime nel settore della difesa. Il file PDF utilizzato come esca ha lo scopo di distrarre l’utente mentre il malware si installa e opera in background in modo silenzioso.

Contesto geopolitico e obiettivi

Il tempismo di questa operazione non è casuale e riflette il contesto geopolitico attuale, caratterizzato da un’intensificazione della collaborazione tra Pakistan e Turchia e dalle tensioni militari con l’India. La scelta delle aziende turche non sorprende, visto che la Turchia è oggi leader mondiale nell’export di UAV e nello sviluppo di tecnologie avanzate per missili ipersonici. La campagna ha incluso anche il targeting di un produttore di sistemi missilistici di precisione.

Componenti tecniche dell’attacco

La componente tecnica dell’attacco si basa su DLL malevoli caricate tramite task pianificati, che eseguono shellcode per ottenere informazioni dettagliate sui dispositivi compromessi, come screenshot e dati di sistema, poi inviati ai server degli attaccanti. Patchwork ha mostrato una notevole evoluzione tecnica, passando da varianti x64 DLL nel 2024 a eseguibili x86 PE più recenti con strutture di comando potenziate e una migliore capacità di impersonare siti legittimi per le comunicazioni C2.

Connessioni con altri gruppi di minaccia

Infine, sono state rilevate sovrapposizioni infrastrutturali tra Patchwork e altri gruppi come DoNot Team, suggerendo possibili connessioni operative tra i due cluster di minaccia. Questo scenario sottolinea la crescente complessità e l’investimento continuo da parte degli attori APT nell’innovazione delle loro tecniche di attacco contro obiettivi strategici.