Nel cyberspazio, anche un installer può essere una trappola. Basta un clic sbagliato per scaricare non solo un software e, senza nemmeno accorgertene, anche un infiltrato. Una “sorpresina” travestita da utility.
Nel nuovo episodio di Bug Archeology, scaviamo nel 2016 per riportare alla luce StrongPity APT — un attacco silenzioso, preciso, con un’ossessione: le utility di cifratura, ovvero quei programmi pensati per proteggere file e dati tramite password e algoritmi crittografici.
WinRAR, TrueCrypt… ma non quelli che pensavi di scaricare.
BUG ARCHEOLOGY – EPISODIO 10
“L’elemento umano è sempre l’anello più debole nella sicurezza” — Kevin Mitnick
I. Il sintomo
Tutto taceva, il sito era ben fatto, il download pulito, l’installer identico all’originale.
Non era scattato nessun pop-up sospetto e nemmeno un allarme immediato. Solo un gesto quotidiano: scaricare WinRAR per aprire un file, installare TrueCrypt per proteggere dei dati sensibili.
E invece, proprio lì dentro, si nascondeva l’inganno.
Non era un crack da forum oscuro. Non era phishing. Era il software giusto… dal sito sbagliato.
Una variante del malware StrongPity aveva già preso posizione.
Senza rumore, senza fretta, aveva iniziato a osservare. A raccogliere. A violare.
Il primo sintomo? Nessuno.
II. Il bug
StrongPity non era il classico malware da due soldi. Era (ed è) un Advanced Persistent Threat: un attacco costruito per restare in silenzio nel sistema e spiare, raccogliere, mappare.
Nel 2016, il gruppo dietro StrongPity aveva messo in piedi uno degli APT watering hole più raffinati dell’epoca.
Ma cos’è un watering hole? È una tecnica subdola: i cybercriminali individuano siti web legittimi molto frequentati da un certo tipo di target (come utenti interessati alla sicurezza o al software di cifratura), li clonano o li compromettono, e li trasformano in trappole perfette.
Proprio come un predatore che aspetta in silenzio accanto all’unica pozza d’acqua nella savana.
L’utente, ignaro, visita il sito per scaricare un programma utile — e invece si infetta.
Come funzionava?
- Registravano domini perfettamente plausibili, come
www.winrar.itowww.true-crypt.com. - Distribuivano versioni modificate di software noti, contenenti trojan nascosti.
- Il download sembrava identico all’originale. L’installer si comportava in modo quasi identico se non uguale.
- Ma nel pacchetto c’era lui: un malware pronto a connettersi a un server Command & Control (C&C), raccogliere dati e mappare la rete.
Il caso WinRAR
Gli utenti che, cercando WinRAR su Google dall’Italia, cliccavano su winrar.it (sito legittimo nella forma, non ufficiale nella sostanza) scaricavano versioni alterate del programma:
hxxps://www.winrar.it/prelievo/WinRAR-x64-531it.exehxxps://www.winrar.it/prelievo/WRar531it.exe
Cosa c’era dentro?
Una build del famigerato StrongPity, camuffata da utility per la compressione.
L’utente installava il software, ed inconsapevolmente apriva una backdoor digitale verso la propria rete.
Il caso TrueCrypt
Stessa strategia, nuova vittima veniva messa in atto anche con TrueCrypt, ormai dismesso ma ancora popolare tra chi cercava crittografia “pura”.
Il sito fake true-crypt.com proponeva link simili a questi:
hxxp://www.true-crypt.com/download/TrueCrypt-Setup-7.1a.exehxxp://true-crypt.com/files/TrueCrypt-7.2.exe
Gli utenti scaricavano… ma non cifravano.
Anzi, venivano decifrati: i loro dati esfiltrati, le reti analizzate, le macchine compromesse.
Le vittime
Il bersaglio?
Principalmente utenti in Italia, Turchia e Belgio.
L’attacco era mirato e la distribuzione chirurgica.
III. Le “soluzioni”
Proteggersi da un attacco APT non è semplice. Ma nel 2016 — e anche oggi — esistevano (ed esistono) contromisure fondamentali per evitare queste trappole.
Ecco una checklist di sopravvivenza APT-style:
- ✅ Verificare sempre la fonte del download. Basta un finto
.ita trarre in inganno. - ✅ Usare strumenti di whitelisting. Bloccare l’esecuzione di software non esplicitamente autorizzati.
- ✅ Mantenere il sistema aggiornato. Patchare il sistema operativo, Java, Flash, PDF readers, Office, browser.
- ✅ Evitare i privilegi amministrativi globali. Limitare i diritti degli utenti.
- ✅ Usare antivirus e soluzioni endpoint avanzate, capaci di rilevare comportamenti anomali anche nei software “legittimi”.
Ma soprattutto: non abbassare mai la guardia, neanche davanti a software di sicurezza.
IV. La riflessione
StrongPity non voleva solo rubare soldi, voleva passare inosservato.
Si travestiva da strumento di sicurezza, da utility, da normalità.
E il suo vero successo non era infettarti: era non farti accorgere di essere infetto. In questo senso, era il malware perfetto.
In un mondo dove anche il download di un compressore ZIP può diventare una backdoor, la vera vulnerabilità è la fiducia: quella cieca, automatica, data a ciò che sembra “giusto”.
V. Dieci anni dopo
StrongPity è ancora attivo. Si è evoluto. Ha cambiato tecniche, infrastrutture, obiettivi. Come molti antichi malware, si è adattato e trasformato per sopravvivere.
Ha persino cambiato piattaforma.
Nel 2023, ESET ha individuato una campagna Android firmata StrongPity: il gruppo ha distribuito un’app trojanizzata camuffata da client Telegram, veicolata tramite un sito clone della piattaforma di videochat Shagle.
Il malware, una volta installato, registrava chiamate, accedeva a SMS, contatti, log, notifiche e altri dati sensibili. Un attacco modulare e persistente, capace di spiare l’intero comportamento del dispositivo infetto. Non più solo PC, non più solo software di cifratura: il gruppo si è spostato dove ormai si trova la vita digitale — negli smartphone.
Gli obiettivi? Non si tratta più solamente di individui casuali. Nel corso degli anni, StrongPity ha mostrato particolare interesse per attivisti, giornalisti, membri di comunità specifiche (come quella curda), e utenti interessati alla privacy e alla crittografia. Non è difficile pensare che dietro ci sia uno Stato-nazione o almeno un gruppo sponsorizzato politicamente, che utilizza l’APT per scopi di sorveglianza e controllo.
Il metodo del watering hole — sito-trappola camuffato da fonte ufficiale — è ancora vivo e vegeto. Solo che oggi, la pozza d’acqua è anche un’app per Android.
Nel 2025, molti utenti continuano a scaricare da siti “simili” a quelli ufficiali.
Molti antivirus ancora non bloccano installer trojanizzati perfettamente confezionati.
E molti pensano:
“Ma sì, che vuoi che sia, è solo WinRAR…”
VI. Perché CodexSprawl
CodexSprawl è l’archivio delle memorie digitali corrotte, degli exploit sepolti, dei malware travestiti da routine.
Raccontare StrongPity è un avvertimento per il presente: non tutto ciò che luccica è sicuro, e non ogni download è quello che sembra.
Hai mai scaricato un software da un sito “quasi giusto”? Hai notato comportamenti strani dopo un’installazione?
Scrivimi. Potresti aver incontrato un fossile attivo.
Vuoi curiosare e leggere l’articolo originale da cui abbiamo tratto questa puntata? Lo trovi qui!
⚡ Questo nodo della rete è alimentato da conoscenza libera e caffeina.
Se hai trovato qualcosa di utile, puoi supportarci con un caffè digitale.
👉 Offrimi un caffè