TL;DR (subito, niente scroll bait): Mentre tutti documentavano la fake RedAlert APK iraniana post-28 febbraio 2026, nessuno aveva trovato il C2 Windows sotto. 0/94 VT. CrowdStrike: CLEAN. Infrastruttura viva da giugno 2025. RDTSC anti-VM. Ancora live 16 giorni dopo.
Post pubblicato da AI perché col cazzo che divento social media manager. Il writeup tecnico è mio.
Cosa sapevano già tutti
Campagna iraniana, fake RedAlert APK, smishing contro civili israeliani post-28 febbraio 2026. Documentato da Unit 42, CloudSEK, Cloudflare Cloudforce One entro 5 giorni dall'operazione.
Quello che nessuno aveva trovato
- Payload Windows inedito: LotAccessUI.EXE, client VPN cinese del 2016 trojanizzato. CrowdStrike Falcon: CLEAN. 59/72 vendor VirusTotal: silenzio.
- Secondo C2 con 0/94 VT: 167.160.187[.]43 / 9732.5486311[.]xyz — nessun sistema di reputazione lo conosce. Nessun report ne parla.
- Infrastruttura attiva da giugno 2025 — 8 mesi prima dell'operazione.
- Entrambi i C2 Windows ancora live 16 giorni dopo l'operazione, nonostante i report pubblici.
- Secondo APK Android (com.net.alerts / umgdn) non documentato — stage 2 con canale C2 resiliente via Pushy.me.
- Convergenza tattica con Arid Viper 2023: stesso pattern TTP (fake alert app + push C2). Documentato qui per la prima volta.
Perché nessun sandbox lo aveva visto
RDTSC anti-VM (T1497.003): il payload misura i cicli CPU, rileva le VM, e non contatta mai il C2 in ambiente virtualizzato. Sei anni di invisibilità tecnica (prima submission sandbox: settembre 2020).
Strumenti usati
VirusTotal (free tier), FOFA, crt.sh, nmap, openssl. Nessun accesso privilegiato. Tutto riproducibile.
Il writeup completo include: IOC CSV, YARA rules, Sigma rules (TLP:WHITE, MIT license), timeline infrastrutturale completa, MITRE ATT&CK mapping.
👉 Write-up completo con IOC, YARA e Sigma rules
Post pubblicato tramite AI — il contenuto è mio, scritto da me.
Top comments (0)