Sono le 12:16 del 24 giugno 2026. Negli uffici amministrativi di un'azienda cliente, qualcuno apre la casella di posta e trova un'email che sembra arrivare da FedEx: oggetto "Shipping Documents", un allegato con i documenti di spedizione, la grafica e il tono di sempre. Tutto, all'apparenza, regolare.

Non lo è. È l'inizio di un attacco informatico studiato nei minimi dettagli — e il motivo per cui, due minuti dopo l'apertura dell'allegato, il nostro Security Operations Center (SOC) si è acceso come un faro.

Un'esca perfetta, costruita per superare ogni controllo

La mail non veniva da FedEx, ma da un dominio creato apposta per imitarla, con un indirizzo IP privo di reputazione e già segnalato come sospetto. Eppure ha superato tutti i controlli automatici di autenticazione (SPF, DKIM, DMARC) perché l'attaccante aveva configurato correttamente la propria infrastruttura: una dimostrazione che superare questi controlli non significa essere legittimi, significa solo essere tecnicamente coerenti. Anche il filtro antispam l'ha lasciata passare, classificandola come "non sufficientemente sospetta".

L'allegato, una volta aperto, ha messo in moto una catena d'infezione pensata per restare invisibile.

Un malware progettato per non farsi vedere

Qui arriva la parte più interessante — e più preoccupante. Il file allegato non conteneva un virus "classico", facilmente riconoscibile da una firma digitale. Era un dropper multi-stadio: un piccolo contenitore che, una volta avviato, costruisce ed esegue il vero codice malevolo pezzo per pezzo, decifrandolo a runtime con una chiave segreta e nascondendo le sue tracce dietro nomi di variabili in danese, commenti fuorvianti e frammenti di stringhe sparsi nel codice.

Risultato: l'antivirus aziendale, pur aggiornato, non ha rilevato nulla. Non perché fosse inefficace, ma perché il malware era stato progettato a tavolino proprio per ingannare le analisi statiche basate su firme — la tecnica di rilevamento più comune.

Il codice, una volta eseguito, ha tentato di scaricare un secondo payload da due indirizzi web di riserva, mascherando il traffico come una normale navigazione internet. Ha poi installato una persistenza nel registro di Windows — ma con un trucco ulteriore: il comando malevolo non veniva scritto su disco, restava "nascosto" dentro una chiave di registro, pronto a rigenerarsi a ogni riavvio senza lasciare un file da scansionare. Una tecnica nota come attacco fileless, tra le più difficili da intercettare con strumenti tradizionali.

Il vero eroe della storia: il monitoraggio comportamentale

Se l'antivirus non ha visto nulla, cosa ha fermato l'attacco? Non una firma, ma un comportamento anomalo: la creazione di un file eseguibile in una cartella che normalmente non dovrebbe contenerne uno, seguita da una modifica sospetta al registro di sistema. Il sistema di monitoraggio comportamentale del nostro SOC ha intercettato questi segnali alle 12:31 e ha fatto scattare l'allarme.

Da lì è iniziata una corsa contro il tempo. Gli analisti hanno ricostruito l'intera catena dell'attacco — dalla mail di phishing fino al meccanismo di persistenza nascosto nel registro — isolando la postazione compromessa dalla rete entro 27 minuti dalla prima rilevazione, alle 12:58.

Perché quei 27 minuti hanno fatto la differenza

Il dettaglio che rende questa storia ancora più significativa è cosa sarebbe potuto succedere senza un intervento rapido. Il malware era rimasto "in attesa": il payload finale non si era mai connesso ai server di comando remoti, semplicemente perché il sistema è stato isolato prima che l'utente effettuasse un nuovo accesso o un riavvio — l'evento che avrebbe attivato la persistenza. Se quel riavvio fosse avvenuto, il malware si sarebbe collegato ai suoi server esterni e — dato che il traffico web in uscita non era soggetto a particolari restrizioni — avrebbe potuto comunicare liberamente con l'attaccante, con il rischio concreto di un'esfiltrazione di dati.

Non è successo. E non è successo perché qualcuno, dall'altra parte, stava guardando.

Cosa ci insegna questo caso

Questa storia racconta bene la differenza tra "avere un antivirus" e "avere una sicurezza attiva". Gli antivirus tradizionali restano una difesa necessaria, ma sempre più spesso non bastano contro minacce progettate apposta per eluderli. Serve un livello ulteriore: occhi umani e sistemi di monitoraggio capaci di riconoscere comportamenti sospetti anche quando nessuna firma li segnala.

In questo caso, il cliente aveva attivo il nostro servizio SOC. È stato quel layer di osservazione continua — non l'antivirus — ad accorgersi che qualcosa non andava, a ricostruire l'intera dinamica dell'attacco in poche ore e a chiudere la falla prima che producesse danni reali.

Un'email sembrava innocua. Un allegato sembrava un documento di spedizione. E un attacco pensato per essere invisibile è stato visto, capito e fermato.

Nel security Blog Potete trovare l'approfondimento con l'analisi tecnica dettagliata

— Team NGSecurity, Divisione SOC