I. Riassunto breve

StilachiRAT è una nuova variante di Trojan di Accesso Remoto (RAT) scoperta recentemente dai ricercatori di Microsoft nel novembre 2024 . Questo malware possiede estese capacità di controllo remoto e furto di informazioni, prendendo di mira dati sensibili come credenziali memorizzate nel browser, dati negli appunti e, in particolare, oltre 20 diverse estensioni di portafogli di criptovalute per Google Chrome . StilachiRAT impiega tecniche avanzate per eludere il rilevamento e l’analisi, tra cui l’eliminazione dei registri eventi, la manipolazione del registro di sistema, comportamenti evasivi nei confronti delle sandbox e controlli per la presenza di strumenti di analisi . Il malware supporta anche il monitoraggio delle sessioni Remote Desktop Protocol (RDP) e l’esecuzione di comandi ricevuti da server Command and Control (C2) controllati dagli attaccanti . Nonostante al marzo 2025 non risulti ampiamente distribuito, la sua sofisticatezza e il potenziale impatto hanno portato a un avvertimento proattivo da parte di Microsoft . Alcune fonti lo descrivono come un versatile “coltellino svizzero” dei RAT, data la sua vasta gamma di funzionalità dannose .  

La rapida identificazione e la successiva divulgazione pubblica da parte di Microsoft subito dopo la comparsa di StilachiRAT nel novembre 2024 suggeriscono un approccio reattivo contro una minaccia potenzialmente significativa. Questo comportamento indica che Microsoft ha probabilmente valutato StilachiRAT come dotato di caratteristiche innovative o particolarmente pericolose, tali da giustificare un’immediata attenzione da parte della comunità della sicurezza informatica. La costante enfasi sul targeting dei portafogli di criptovalute in diverse fonti evidenzia un panorama della criminalità informatica in evoluzione, dove il guadagno finanziario attraverso il furto di criptovalute rappresenta una motivazione primaria. Questa tendenza suggerisce che gli sviluppatori di malware si concentrano sempre più sullo sfruttamento della crescente popolarità e valore degli asset digitali.  

II. Che cos’è StilachiRAT?

StilachiRAT è classificato come un sofisticato Trojan di Accesso Remoto (RAT) . Il suo scopo principale è ottenere accesso remoto non autorizzato a un sistema compromesso, consentendo agli aggressori di sottrarre informazioni sensibili e potenzialmente eseguire altre attività dannose . Le funzionalità principali del RAT sono contenute all’interno di un file Dynamic Link Library (DLL) denominato “WWStartupCtrl64.dll” . Allo stato attuale della segnalazione, il malware non è stato attribuito a specifici gruppi di minaccia noti o a stati-nazione . È stato scoperto per la prima volta nel novembre 2024 dal team di risposta agli incidenti di Microsoft .  

L’incapsulamento delle capacità dannose di StilachiRAT all’interno di un file DLL (“WWStartupCtrl64.dll”) è una pratica comune nello sviluppo di malware. Ciò consente al malware di essere caricato ed eseguito da altri processi, rendendolo potenzialmente meno evidente rispetto a un eseguibile autonomo. Questa struttura modulare facilita anche aggiornamenti e modifiche da parte degli autori della minaccia. La mancanza di attribuzione immediata a uno specifico attore della minaccia potrebbe indicare diverse possibilità: il malware è opera di un gruppo di minaccia nuovo o emergente, gli aggressori stanno impiegando tecniche sofisticate per mascherare la loro identità e origine, oppure l’analisi iniziale è ancora in corso. Questa incertezza può ostacolare lo sviluppo di strategie mirate di intelligence sulle minacce e difensive.  

III. Funzionalità Principali di StilachiRAT

• A. Funzionalità di Controllo Remoto: StilachiRAT concede agli aggressori un controllo significativo sul sistema infetto, consentendo loro di eseguire comandi arbitrari . Tra i comandi specifici, vi è la capacità di visualizzare finestre di dialogo con contenuto HTML renderizzato da un URL fornito (potenzialmente per phishing o social engineering) . Il malware può avviare lo spegnimento del sistema utilizzando una chiamata API di Windows non documentata, suggerendo un tentativo di eludere il monitoraggio standard dei processi di spegnimento del sistema . È in grado di manipolare le connessioni di rete ricevendo nuovi indirizzi di rete dal server C2, accettando connessioni in entrata su porte specificate e terminando le connessioni esistenti . Può avviare applicazioni specifiche, enumerare le finestre aperte per cercare titoli specifici e mettere il sistema in modalità di sospensione o ibernazione . StilachiRAT supporta anche funzionalità di proxying simili a SOCKS, consentendo agli aggressori di instradare il proprio traffico di rete attraverso la macchina compromessa, oscurando ulteriormente la loro origine .   La presenza di comandi per la visualizzazione di contenuti HTML e la manipolazione delle connessioni di rete suggerisce che StilachiRAT potrebbe essere utilizzato per scopi che vanno oltre il semplice furto di dati. La visualizzazione HTML potrebbe essere sfruttata per sofisticati keylogger su schermo o per presentare finte schermate di login, mentre la manipolazione della rete consente il pivoting verso altri sistemi all’interno della stessa rete o la creazione di canali di comunicazione nascosti. L’impiego di un’API di Windows non documentata per lo spegnimento del sistema rappresenta una notevole tecnica anti-forense. Utilizzando metodi non standard, il malware potrebbe evitare di attivare allarmi da software di sicurezza che monitorano il comportamento tipico del sistema. Ciò evidenzia la necessità che le soluzioni di sicurezza monitorino una gamma più ampia di chiamate e attività di sistema.   La seguente tabella riassume le capacità di Command and Control (C2) di StilachiRAT:

Comando	Descrizione
07	Visualizza una finestra di dialogo con contenuti HTML renderizzati da un URL fornito.
08	Cancella le voci del registro eventi.
09	Abilita lo spegnimento del sistema utilizzando un’API di Windows non documentata.
13	Riceve un indirizzo di rete dal server C2 e stabilisce una nuova connessione in uscita.
14	Accetta una connessione di rete in entrata sulla porta TCP fornita.
15	Termina le connessioni di rete aperte.
16	Avvia un’applicazione specificata.
19	Enumera tutte le finestre aperte del desktop corrente per cercare un testo specificato nella barra del titolo.
26	Mette il sistema in stato di sospensione o ibernazione.
30	Ruba le password di Google Chrome.

• B. Meccanismi di Furto di Dati: StilachiRAT è progettato per sottrarre una vasta gamma di informazioni sensibili, tra cui credenziali memorizzate nei browser web (in particolare Google Chrome), dettagli di portafogli di criptovalute, dati presenti negli appunti e informazioni complete sul sistema . Il malware prende di mira specificamente oltre 20 diverse estensioni di portafogli di criptovalute disponibili per Google Chrome, indicando una forte attenzione al guadagno finanziario . Estrae e decrittografa le credenziali di accesso salvate da Google Chrome ottenendo la chiave di crittografia dal file di stato locale e utilizzando le API di Windows . Monitora continuamente gli appunti alla ricerca di contenuti sensibili come password e chiavi di portafogli di criptovalute, catturando i dati anche se non vengono memorizzati in modo permanente . StilachiRAT raccoglie dettagli estesi sul sistema infetto, tra cui la versione del sistema operativo, identificatori hardware come i numeri di serie del BIOS, la presenza di una telecamera, sessioni RDP attive e applicazioni GUI (Graphical User Interface) in esecuzione . Raccoglie anche informazioni sui software installati e sulle applicazioni attive, potenzialmente per profilare l’utente e identificare obiettivi o dati di alto valore . Il malware scansiona directory utente come il Desktop e le cartelle Recenti alla ricerca di file di interesse, suggerendo un approccio ampio all’esfiltrazione dei dati .   Il targeting dettagliato di uno specifico insieme di estensioni di portafogli di criptovalute (elencate nella seguente tabella) rivela un obiettivo altamente focalizzato. Ciò suggerisce che gli autori della minaccia hanno condotto una ricognizione per identificare soluzioni di archiviazione di criptovalute popolari e potenzialmente vulnerabili utilizzate all’interno dell’ecosistema del browser Chrome. Il metodo impiegato per rubare le credenziali di Chrome – decrittografando la chiave principale utilizzando le API di Windows nel contesto dell’utente – dimostra una sofisticata comprensione dei meccanismi di sicurezza del browser. Questa tecnica consente al malware di bypassare la protezione tramite password finché l’utente è connesso alla propria sessione di Windows. Il monitoraggio continuo degli appunti è una tattica particolarmente insidiosa. Gli utenti spesso copiano e incollano informazioni sensibili come password, chiavi API e indirizzi di portafogli. Questa capacità di intercettazione in tempo reale può portare al furto immediato di dati senza la necessità che le informazioni vengano archiviate in modo persistente sul sistema.   La seguente tabella elenca i portafogli di criptovalute presi di mira da StilachiRAT:

Portafoglio di Criptovalute
Bitget Wallet
Trust Wallet
TronLink
MetaMask
TokenPocket
BNB Chain Wallet
OKX Wallet
Sui Wallet
Braavos – Starknet Wallet
Coinbase Wallet
Leap Cosmos Wallet
Manta Wallet
Keplr
Phantom
Compass Wallet for Sei
Math Wallet
Fractal Wallet
Station Wallet
ConfluxPortal
Plug

Esporta in Fogli

• C. Capacità di Spionaggio: StilachiRAT monitora attivamente le sessioni RDP catturando informazioni sulla finestra in primo piano e, soprattutto, duplicando i token di sicurezza per impersonare gli utenti connessi . Il malware monitora anche le finestre GUI attive, registrando i loro titoli e le posizioni dei file, consentendo potenzialmente agli aggressori di tracciare l’attività dell’utente e identificare documenti o applicazioni sensibili in uso .   Il monitoraggio RDP con la duplicazione dei token di sicurezza rappresenta una significativa escalation di privilegi e un grave rischio per la sicurezza. Impersonando utenti legittimi, gli aggressori possono potenzialmente bypassare ulteriori misure di autenticazione e spostarsi lateralmente all’interno di una rete, accedendo a risorse sensibili e aumentando il loro livello di controllo. Ciò è particolarmente pericoloso sui server RDP che ospitano sessioni amministrative. Il monitoraggio delle finestre GUI attive e dei loro titoli fornisce agli aggressori preziose informazioni sulle attività correnti dell’utente e sui tipi di dati con cui sta lavorando. Queste informazioni possono essere utilizzate per personalizzare ulteriori attacchi o per dare priorità all’esfiltrazione di file o dati specifici.  

IV. Propagazione e Sistemi Presi di Mira

I metodi specifici utilizzati per distribuire e installare StilachiRAT non sono ancora noti con certezza . Tuttavia, le informazioni disponibili suggeriscono che, come altri RAT, StilachiRAT potrebbe diffondersi attraverso vari vettori di attacco comuni, tra cui exploit kit che prendono di mira vulnerabilità software, pacchetti di software dannoso scaricati da fonti non ufficiali, e-mail di phishing contenenti allegati o collegamenti dannosi, applicazioni false, esche sui social media o come parte di programmi Trojan mascherati da software legittimo . Il rilevamento iniziale di Microsoft nel novembre 2024 ha coinvolto attacchi limitati . StilachiRAT è progettato per colpire i sistemi che eseguono il sistema operativo Windows . Un obiettivo chiave è rappresentato dalle estensioni di portafogli di criptovalute installate all’interno del browser web Google Chrome .  

L’incertezza che circonda l’esatto meccanismo di distribuzione sottolinea la necessità che organizzazioni e individui mantengano una solida postura di sicurezza su più fronti. Affidarsi a un singolo controllo di sicurezza è insufficiente quando il vettore di attacco è sconosciuto. L’attenzione su Windows e Google Chrome (in particolare le sue estensioni per portafogli di criptovalute) indica le priorità strategiche degli aggressori: colpire un sistema operativo ampiamente utilizzato e una piattaforma popolare per la gestione di asset digitali. Ciò suggerisce che gli autori della minaccia probabilmente mirano a un’ampia gamma di potenziali vittime che interagiscono con le criptovalute.  

V. Campagne e Attacchi Recenti

Il rilevamento iniziale di StilachiRAT da parte di Microsoft è avvenuto nel novembre 2024, con segnalazioni che indicavano un’attività iniziale limitata . Al marzo 2025, le informazioni disponibili suggeriscono che StilachiRAT non è stato associato a campagne di attacco diffuse o altamente pubblicizzate . Le informazioni menzionano altri malware e attori di minacce attivi in un periodo di tempo simile (ad esempio, AsyncRat, PureLog Stealer, XWorm, Blind Eagle, Medusa Ransomware), ma non stabiliscono alcun collegamento diretto tra queste entità e StilachiRAT .  

La segnalazione relativamente limitata di campagne StilachiRAT diffuse potrebbe indicare che il malware è ancora nelle sue prime fasi di implementazione, viene utilizzato in attacchi altamente mirati che non sono ancora ampiamente visibili, oppure che le sue capacità di stealth ed elusione stanno impedendo efficacemente il rilevamento e la segnalazione diffusi. La contemporanea attività di altri malware come AsyncRat, PureLog Stealer e XWorm evidenzia la natura dinamica ed evolutiva del panorama delle minacce. Sebbene non direttamente correlata a StilachiRAT, la co-occorrenza di queste minacce sottolinea l’importanza di una strategia di sicurezza completa in grado di affrontare vari tipi di malware e vettori di attacco.  

VI. Analisi Tecnica di StilachiRAT

La funzionalità dannosa principale risiede nel modulo “WWStartupCtrl64.dll” . StilachiRAT raccoglie estese informazioni sul sistema utilizzando le interfacce Component Object Model (COM) e Web-based Enterprise Management (WBEM) tramite WMI Query Language (WQL) . Impiega un metodo specifico per rubare le credenziali di Google Chrome estraendo la chiave di crittografia e decrittografando la chiave principale utilizzando le API di Windows nel contesto dell’utente corrente . La comunicazione con il server Command and Control (C2) viene stabilita tramite le porte TCP 53, 443 o 16000, scelte casualmente, probabilmente per mimetizzarsi con il traffico di rete legittimo . Il malware incorpora un ritardo deliberato di circa due ore prima di stabilire la connessione iniziale al server C2, una tattica spesso utilizzata per eludere il rilevamento in ambienti di analisi sandbox . StilachiRAT può essere avviato come servizio Windows o come componente autonomo, offrendo flessibilità nei suoi meccanismi di distribuzione e persistenza . Utilizza un thread watchdog per monitorare la presenza dei suoi file eseguibili e DLL e, se vengono rimossi, può ricrearli da una copia interna, garantendo la persistenza sul sistema compromesso . Il malware monitora le sessioni RDP catturando informazioni sulla finestra in primo piano e duplicando i token di sicurezza, consentendo potenziali movimenti laterali ed escalation di privilegi . Come misura anti-analisi, StilachiRAT verifica la presenza del processo tcpview.exe, un comune strumento di monitoraggio della rete utilizzato dagli analisti di sicurezza, e non procede se è in esecuzione . Per ostacolare ulteriormente l’analisi, il malware impiega tecniche di offuscamento a livello di API e utilizza un algoritmo personalizzato per codificare molte delle sue stringhe di testo e valori .  

L’affidamento su WMI per la ricognizione del sistema dimostra l’uso efficiente da parte del malware delle funzionalità integrate di Windows per raccogliere una vasta gamma di informazioni. Questo approccio può essere efficace nell’eludere il rilevamento da parte degli strumenti di sicurezza che potrebbero concentrarsi sul monitoraggio di attività dannose più tradizionali. La specifica tecnica per il furto delle credenziali di Chrome mostra una comprensione mirata di come i dati sensibili vengono archiviati all’interno del browser e dei metodi necessari per accedervi. Questo livello di sofisticatezza suggerisce che gli autori del malware hanno investito tempo nell’analisi dei meccanismi di sicurezza delle applicazioni più diffuse. La combinazione di una connessione C2 ritardata e del controllo per tcpview.exe indica uno sforzo deliberato per eludere sia l’analisi automatizzata che quella manuale. Il ritardo può aiutare il malware a bypassare il tempo di esecuzione limitato di molti ambienti sandbox, mentre il controllo di tcpview mostra una consapevolezza degli strumenti comuni degli analisti.  

VII. Tecniche Anti-Analisi ed Elusione

StilachiRAT incorpora una serie di tecniche anti-analisi ed elusione progettate per ostacolare il rilevamento e il reverse engineering . Queste tecniche includono l’eliminazione dei registri eventi per nascondere le proprie tracce . La manipolazione del registro di sistema per ottenere persistenza o alterare il comportamento del sistema . Comportamenti specificamente progettati per eludere il rilevamento all’interno di ambienti sandbox comunemente utilizzati per l’analisi del malware . Controlli diretti per la presenza di strumenti di analisi e timer di sandbox che potrebbero indicare che è in esecuzione in un ambiente controllato . Lo specifico controllo per il processo tcpview.exe . Il ritardo di due ore nella comunicazione C2 iniziale . L’uso di offuscamento a livello di API per rendere più difficile l’analisi manuale del codice . L’implementazione di un algoritmo personalizzato per codificare stringhe di testo e valori all’interno del malware, ostacolando ulteriormente l’analisi statica .  

L’ampiezza e la profondità delle tecniche anti-analisi impiegate da StilachiRAT indicano una significativa attenzione da parte degli autori del malware per garantirne la longevità ed efficacia all’interno dei sistemi compromessi. Ciò suggerisce che StilachiRAT è destinato a operazioni sostenute e all’esfiltrazione di dati piuttosto che a un approccio rapido e mordi-e-fuggi. La specifica inclusione dell’eliminazione dei registri eventi evidenzia l’intento del malware di rimuovere le tracce della sua attività, rendendo più difficile l’analisi forense post-incidente. Questa è una caratteristica comune delle minacce persistenti avanzate (APT) e del malware progettato per lo spionaggio o il furto di dati a lungo termine.  

VIII. Avvisi di Sicurezza e Raccomandazioni di Mitigazione

Microsoft ha emesso avvisi di sicurezza relativi al malware StilachiRAT . Le raccomandazioni generali includono il download di software solo da fonti attendibili e ufficiali e l’assicurazione che siano in atto solide soluzioni di sicurezza . Consigli specifici di Microsoft e professionisti della sicurezza includono: l’impiego di strumenti di sicurezza cloud avanzati e soluzioni di protezione degli endpoint ; l’esercizio della cautela con collegamenti sospetti e download di software sconosciuto ; il monitoraggio regolare dell’attività del portafoglio di criptovalute per transazioni non autorizzate ; e l’evitare di memorizzare credenziali critiche all’interno di browser web come Chrome . Ulteriori raccomandazioni includono il mantenimento aggiornato di sistemi operativi, applicazioni e software di sicurezza per correggere le vulnerabilità note ; l’abilitazione dell’autenticazione a più fattori (MFA) per i portafogli di criptovalute e altri account sensibili ; l’utilizzo di browser web con funzionalità di protezione integrate come SmartScreen di Microsoft Edge ; l’abilitazione di Safe Links e Safe Attachments per gli ambienti Office 365 ; la disabilitazione del salvataggio automatico delle password nei browser web ; l’implementazione del whitelisting delle applicazioni (ad esempio, Microsoft AppLocker) per impedire l’esecuzione di programmi non autorizzati ; e il blocco degli Indicatori di Compromissione (IOC) noti associati a StilachiRAT ai controlli di sicurezza di rete e degli endpoint . I team di sicurezza sono invitati a monitorare specifici ID evento di Windows relativi all’installazione di servizi (ID evento 7045, 4697), alle modifiche del tipo di avvio dei servizi (ID evento 7040) e alla cancellazione dei registri eventi (ID evento 1102 nel registro di sicurezza, ID evento 104 nel registro di sistema) . Dovrebbero anche cercare connessioni di rete in uscita sospette, segni di meccanismi di persistenza e qualsiasi comportamento anti-forense .  

L’enfasi sull’educazione e la cautela dell’utente evidenzia il ruolo critico dei fattori umani nella sicurezza informatica. Molte infezioni da malware, inclusa potenzialmente StilachiRAT, si basano su tattiche di social engineering per indurre gli utenti a compiere azioni che compromettono i loro sistemi. Le specifiche raccomandazioni per il monitoraggio dei registri eventi di Windows forniscono informazioni pratiche ai team operativi di sicurezza. Il monitoraggio proattivo di questi indicatori può consentire il rilevamento precoce di un’infezione da StilachiRAT, limitando potenzialmente i danni e facilitando una risposta più rapida.  

IX. Conclusione

StilachiRAT rappresenta un Trojan di Accesso Remoto di recente comparsa e sofisticato che pone una minaccia significativa a causa delle sue estese capacità di controllo remoto, della sua attenzione al furto di criptovalute e delle sue avanzate tecniche di elusione. Sebbene le segnalazioni attuali indichino una distribuzione limitata, la sua sofisticatezza tecnica e gli avvertimenti proattivi emessi da Microsoft suggeriscono una potenziale minaccia futura significativa. Individui e organizzazioni devono rimanere vigili e implementare le misure di sicurezza raccomandate, tra cui l’educazione degli utenti, una solida protezione degli endpoint e un monitoraggio proattivo, per mitigare il rischio posto da StilachiRAT e da simili minacce informatiche in evoluzione.

X. Riferimenti

• https://www.broadcom.com/support/security-center/protection-bulletin/stilachirat-malware  
• https://fieldeffect.com/blog/stilachirat-scurrying-crypto-wallets  
• https://thehackernews.com/2025/03/thn-weekly-recap-github-supply-chain.html  
• https://thehackernews.com/2025/03/microsoft-warns-of-stilachirat-stealthy.html  
• https://natlawreview.com/article/privacy-tip-436-microsoft-warns-crypto-wallet-scanning-malware-stilachirat  
• https://thehackernews.com/2025/03/microsoft-warns-of-stilachirat-stealthy.html  
• https://thehackernews.com/2025/03/thn-weekly-recap-github-supply-chain.html  
• https://thehackernews.com/2025/03/thn-weekly-recap-github-supply-chain.html  
• https://thehackernews.com/search/label/Malware  
• https://thehackernews.com/2025/03/thn-weekly-recap-github-supply-chain.html  
• 12
• https://thehackernews.com/2025/03/microsoft-warns-of-stilachirat-stealthy.html  
• https://thehackernews.com/2025/03/thn-weekly-recap-github-supply-chain.html  
• https://thehackernews.com/2025/03/microsoft-warns-of-stilachirat-stealthy.html  
• 8
• https://fieldeffect.com/blog/stilachirat-scurrying-crypto-wallets  
• https://fieldeffect.com/blog/clickfix-rising-threat-fake-fixes  
• https://www.broadcom.com/support/security-center/protection-bulletin/stilachirat-malware  
• https://www.microsoft.com/en-us/security/blog/2025/03/17/stilachirat-analysis-from-system-reconnaissance-to-cryptocurrency-theft/  
• https://www.scworld.com/brief/novel-sophisticated-stilachirat-malware-emerges  
• https://varindia.com/news/new-malware-stilachirat-targets-credentials-and-crypto-wallets-claims-microsoft  
• https://thehackernews.com/2025/03/microsoft-warns-of-stilachirat-stealthy.html  
• https://www.varindia.com/news/new-malware-stilachirat-targets-credentials-and-crypto-wallets-claims-microsoft  
• https://www.ampcuscyber.com/shadowopsintel/stilachirat-a-silent-intruder-in-your-system-stealing-data-and-crypto-assets/  
• https://natlawreview.com/article/privacy-tip-436-microsoft-warns-crypto-wallet-scanning-malware-stilachirat  
• https://www.securityweek.com/microsoft-warns-of-new-stilachirat-malware/  
• https://www.scworld.com/brief/novel-sophisticated-stilachirat-malware-emerges  

CheckBlackList 25 marzo 2025