Secondo il report di Microsoft Threat Intelligence (MSTIC) pubblicato il 17 Apr 2026, un’operazione mirata attribuita al gruppo nordcoreano Sapphire Sleet ha preso di mira utenti macOS convincendoli a eseguire manualmente codice dannoso mascherato da aggiornamento software. L’attacco sfrutta canali social e profili di reclutatori falsi per agganciare vittime nel settore finanziario, in particolare professionisti legati a criptovalute, venture capital e blockchain. Questo approccio mette in luce come la manipolazione dell’utente resti una delle tecniche più efficaci per superare le protezioni native del sistema.
L’operazione si regge su una sequenza di elementi ingannevoli: un file chiamato Zoom SDK Update.scpt, l’apertura in Script Editor, e il download dinamico di payload tramite strumenti nativi come curl e osascript.
MSTIC descrive la catena come altamente affidabile per l’attaccante, capace di bypassare meccanismi di sicurezza quali Gatekeeper, la quarantena e i controlli di notarizzazione quando l’esecuzione è avviata direttamente dall’utente. Apple e Microsoft hanno coordinato alert e contromisure una volta identificata l’attività.
Meccanica dell’inganno
La prima fase della campagna è una classica tattica di ingegneria sociale: profili falsi su LinkedIn e altre piattaforme attirano candidati con offerte di lavoro. Dopo aver instaurato fiducia, gli operatori organizzano un colloquio tecnico che funge da pretesto per chiedere l’installazione di strumenti o aggiornamenti. Il file lure, un AppleScript compilato, viene presentato come aggiornamento dell’SDK di Zoom e contiene lunghe sezioni di testo innocuo seguite da migliaia di righe vuote, in modo che il codice malevolo sia nascosto oltre la porzione immediatamente visibile in Script Editor.
Catena multi-stage e abuso di strumenti nativi
Una volta aperto, il file esegue comandi che lanciano processi firmati da Apple o richiami a binari legittimi per aumentare la percezione di autenticità. Successivamente la catena utilizza curl per recuperare ulteriori script controllati dagli aggressori; ogni stage scarica un payload distinto con un proprio user-agent per tracciare la campagna. Questi payload possono essere eseguiti in memoria tramite osascript, riducendo la scrittura disco e complicando il rilevamento. Alcuni eseguibili mascherano i nomi con convenzioni simili a quelle Apple, ad esempio denomina un monitor a com.apple.cli, per mimetizzarsi meglio.
Obiettivi e informazioni sottratte
Lo scopo primario di Sapphire Sleet, noto anche come APT38 in alcuni report, è finanziario: sottrarre fondi da portafogli di criptovalute e raccogliere proprietà intellettuale legata a strumenti di trading e blockchain.
Durante le intrusioni, gli attori hanno esfiltrato dati sensibili come note salvate in Apple Notes, informazioni sui portafogli cripto, dati del keychain, cronologia del browser e credenziali o sessioni di servizi come Telegram. Alcuni payload includono backdoor che registrano il sistema con infrastrutture di comando e controllo per operazioni successive di ricognizione e movimento laterale.
Contromisure e raccomandazioni pratiche
Per ridurre il rischio derivante da campagne analoghe, MSTIC e altri ricercatori suggeriscono una combinazione di formazione e controlli tecnici. È fondamentale educare il personale a non eseguire script o comandi ricevuti via chat o email senza verifica preventiva con il team IT. Sul piano tecnico, si raccomanda di applicare restrizioni all’esecuzione di AppleScript compilati e di binary Mach-O non firmati scaricati da internet, nonché di limitare l’uso di strumenti come curl quando i risultati vengono pipati a interpreti.
Monitoraggio e strumenti di difesa
Tra le misure consigliate ci sono il monitoraggio delle modifiche non autorizzate al database di TCC (Transparency, Consent and Control), l’audit delle installazioni in LaunchDaemon e LaunchAgent, e la rotazione delle credenziali memorizzate nei browser o nei keychain in caso di sospetto compromesso. Inoltre, gli utenti di portafogli cripto dovrebbero verificare sempre gli indirizzi incollati prima di inviare fondi e considerare soluzioni di cold storage per asset significativi.
Infine, Apple ha rilasciato aggiornamenti di piattaforma e firme XProtect per rilevare e bloccare questa famiglia di malware, e Safari ha ricevuto protezioni per identificare infrastrutture malevole. Tuttavia, la lezione principale resta che la barriera più fragile spesso è l’utente: investire in formazione mirata e procedure di verifica è tanto importante quanto aggiornare firme e strumenti di sicurezza.
