Tecnologia ValleyRAT torna a colpire Windows con falsi installer
2' 42''
03/07/2026

Il trojan ValleyRAT accelera la sua diffusione contro Windows con falsi installer, phishing mirato e tecniche fileless per eludere le difese endpoint.

ValleyRAT torna a colpire Windows con falsi installer

ValleyRAT torna al centro del panorama delle minacce con una nuova ondata di attacchi contro utenti Windows. Il trojan di accesso remoto, identificato per la prima volta nel 2023, sta vivendo una forte ripresa: la threat intelligence di LevelBlue GSOC indica che i volumi di rilevamento sono cresciuti rapidamente nel corso del 2025 e hanno raddoppiato il ritmo nei primi mesi del 2026.

Il malware è storicamente collegato al gruppo SilverFox e consente agli aggressori di assumere il pieno controllo remoto dei sistemi compromessi. Le campagne precedenti si basavano soprattutto su falsi installer rivolti a utenti di lingua cinese, ma le operazioni più recenti mostrano un cambio di passo: accanto a quel vettore compaiono email malevole costruite per colpire vittime di lingua giapponese.

La combinazione dei due canali di attacco racconta un avversario capace di adattare linguaggio, esche e tecniche operative. Il metodo dei falsi installer interferisce con alcuni software di sicurezza regionali e può diventare un punto d’ingresso nelle filiali estere di aziende multinazionali. La nuova campagna via email, invece, introduce tattiche diverse e un uso più marcato dell’ingegneria sociale.

ValleyRAT combina phishing mirato e tecniche fileless contro sistemi Windows

Gli attacchi partono da messaggi di phishing molto mirati, scritti in cinese tradizionale o in giapponese. Le email si presentano come comunicazioni interne urgenti, spesso legate a trasferimenti del personale o ad adeguamenti salariali. Il destinatario viene spinto a cliccare su un link che scarica un archivio ZIP contenente un eseguibile legittimo, firmato digitalmente, e una DLL malevola.

Il testo dell’email invita esplicitamente ad aprire i file da un computer, preparando l’attacco di DLL sideloading. Quando la vittima avvia l’eseguibile apparentemente innocuo, in alcuni casi mascherato da VLC media player, il programma carica senza che l’utente se ne accorga la libreria dannosa. Da quel momento la DLL orchestra l’infezione, copia se stessa in directory pubbliche e crea chiavi di esecuzione nel registro per mantenere la persistenza.

I falsi installer restano un punto d’ingresso per ambienti aziendali distribuiti

La fase successiva serve a recuperare il payload finale di ValleyRAT da un server remoto. Per ridurre la probabilità di allarme, l’URL di download è codificato in Base64, mentre il payload è cifrato con l’algoritmo RC4 usando la chiave zenzensu. La catena combina quindi componenti apparentemente legittimi, caricamento laterale di librerie e tecniche di esecuzione senza file persistenti facilmente individuabili.

Per le imprese, il punto critico è la capacità della campagna di superare controlli endpoint basati su firme tradizionali. LevelBlue osserva che una minaccia fileless e residente in memoria come ValleyRAT richiede tecniche di rilevamento più avanzate. Gli analisti hanno seguito la campagna cercando specifici nomi di moduli ricavati da codice sorgente di ValleyRAT trapelato su GitHub.

La caccia in memoria diventa cruciale quando le firme tradizionali non bastano

Il monitoraggio di questi moduli fluttuanti in memoria permette ai team di sicurezza di individuare il malware anche quando ha superato i primi controlli. La tecnica, però, può produrre falsi positivi e si presta meglio ad attività di threat hunting proattivo che a sistemi automatici di alert. La ripresa di ValleyRAT mostra così un’evoluzione concreta delle campagne malware: meno dipendenza da un singolo installer fasullo, più localizzazione linguistica e catene d’infezione pensate per muoversi sotto la soglia delle difese standard.