L’abuso dei file MSC da parte degli Advanced Persistent Threat (APT)

Dall’intervento di Gianfranco Tonello, CEO di TG Soft, tenutosi alla 14ª Cyber Crime Conference (Auditorium della Tecnica, Roma, 6-7 maggio 2026).

Un vettore d’attacco emergente

Dal 2024 i file .MSC sono entrati stabilmente nell’arsenale dei principali gruppi Advanced Persistent Threat. Si tratta di un vettore d’attacco poco intercettato dagli strumenti di endpoint security in fase di analisi statica, utilizzato in modo quasi esclusivo da attori state-sponsored o di alto profilo, e finora mai osservato in campagne commodity di tipo infostealer o RAT diffuso (AgentTesla, Snake Keylogger, Remcos). Nel suo intervento alla 14ª Cyber Crime Conference, Gianfranco Tonello ha ricostruito tecniche di abuso, vulnerabilità sfruttate e operatività dei principali gruppi APT che hanno adottato questo formato.

Cos’è un file MSC

Un file con estensione .MSC (Management Saved Console) è uno snap-in della Microsoft Management Console ( mmc.exe ), strutturato come documento XML. Nato come strumento amministrativo di Windows, presenta tre caratteristiche che lo rendono particolarmente versatile come vettore d’attacco:

1. la possibilità di personalizzare l’icona del file, mimando documenti Word, PDF o di altri formati di uso comune;
2. la presenza di funzionalità native (come ConsoleTaskpad) che consentono l’esecuzione di comandi arbitrari;
3. la disponibilità di vulnerabilità documentate (in particolare GrimResource) che permettono l’esecuzione automatica di codice all’apertura.

Tonello ha mostrato un esempio dell’APT indiano Bitter in cui l’estensione viene mascherata tramite un carattere Unicode di inversione del testo (Right-to-Left Override): in Explorer il file appare come .pdf, mentre l’estensione reale è .msc . Anche la finestra di anteprima del sistema operativo segnala correttamente il file come “Documento di console”, ma l’utente medio si fida dell’icona PDF e procede all’apertura.

Le tre modalità di abuso

1. Link diretto

La modalità più semplice consiste nell’inserire all’interno del file .msc una URL malevola che viene aperta dal motore di rendering interno alla MMC, ancora basato su Internet Explorer (presente in Windows 11 nonostante la dismissione del browser come applicazione utente).

Il caso emblematico è quello del gruppo Water Gamayun (alias EncryptHub, Larva-208), attribuito ad area russofona, che ha sfruttato la vulnerabilità MSC EvilTwin (CVE-2025-26633) per distribuire il Flicker Stealer. La tecnica prevedeva l’invio di un archivio ZIP contenente due file .msc: uno legittimo e uno malevolo.

Quello malevolo veniva copiato in una cartella di Windows dedicata alle risorse di localizzazione linguistica; all’apertura del file legittimo, la MMC andava a leggere il file di lingua di default, che corrispondeva a quello malevolo. Il risultato era l’esecuzione di comandi PowerShell che attivavano il payload dell’infostealer e terminavano poi il processo mmc.exe . Pur trattandosi di un gruppo ransomware e non di un APT in senso stretto, il caso è rappresentativo del livello di sofisticazione delle catene di attacco basate su MSC.

2. ConsoleTaskpad

ConsoleTaskpad è una funzionalità nativa della MMC che permette di associare a un’azione una command line personalizzata. Inserendo nel file .msc una riga di comando di PowerShell, VBScript o CMD, l’attaccante ottiene esecuzione di codice arbitrario. Per concretizzare l’attacco serve l’interazione dell’utente: nel caso reale del gruppo Sticky Werewolf mostrato da Tonello, la vittima vede una finta interfaccia di “PDF Reader” con un link da cliccare, e sono sufficienti due click per innescare l’intera kill chain.

3. Vulnerabilità GrimResource

GrimResource è una vulnerabilità della libreria apds.dll di Microsoft, nota dal 2019 ma corretta solo nell’ottobre 2024, dopo che l’incremento di campagne APT che la sfruttavano ha reso necessario l’intervento del vendor. La vulnerabilità permette l’esecuzione automatica di script all’apertura del file .msc , senza ulteriori interazioni dell’utente oltre al doppio click iniziale. È la modalità più impiegata dagli APT analizzati.

I gruppi APT che abusano dei file MSC

Tonello ha presentato una cronologia degli operatori che hanno adottato il vettore MSC a partire da aprile 2024:

Due elementi meritano attenzione. Il primo è il gruppo WARP (“Cina che attacca Cina”): un’apparente anomalia che si spiega con la presenza, nelle aree economiche di Shanghai e Hong Kong, di sedi di società straniere oggetto di attività di spionaggio governativo cinese. Il secondo è Sticky Werewolf, attribuito ad area ucraina e operativo dall’inizio del conflitto contro target russi nel settore della difesa: il vettore MSC viene impiegato in coerenza con il quadro geopolitico della guerra ucraino-russa.

Tra i framework C2 osservati nelle infrastrutture di gestione del post-exploitation si distinguono PlugX, utilizzato da Dark Peony, e l’insieme di commercial / open source frameworks discussi nella sezione conclusiva.

Approfondimento: APT 41, la campagna contro Taiwan

TG Soft ha iniziato a tracciare l’attività di APT 41 il 2 agosto 2024, in occasione di una campagna diretta al governo di Taiwan. Successivamente, attraverso l’analisi della shellcode recuperata, è stato possibile correlare altre tre campagne attribuibili allo stesso operatore con target Filippine e Vietnam.

Il decoy del 2 agosto 2024

Il file vettore inviato al governo taiwanese è 水域污染詳細訊息.msc (“Informazioni dettagliate sull’inquinamento dell’acqua”), tema coerente con l’attualità ambientale della regione. La catena di attacco è la seguente:

1. apertura del file .msc con esecuzione automatica via GrimResource;
2. script embedded che scarica quattro file da un bucket Amazon S3 ( wordpresss-data.s3.me-south-1.amazonaws.com ): tre file legittimi ( oncesvc.exe, oncesvc.exe.config, water.txt ) e il decoy ws.pdf , copiati nella cartella C:\Users\Public ;
3. apertura del decoy PDF, mentre in background viene eseguito oncesvc.exe ;
4. esecuzione della tecnica App Domain Manager Injection tramite il file oncesvc.exe.config , che fa riferimento a una falsa immagine JPEG ospitata su Alibaba Cloud OSS ( 360photo.oss-cn-hongkong.aliyuncs.com/202407111985.jpeg ): il file scaricato è in realtà una DLL C# che viene iniettata in un processo Microsoft legittimo;
5. la DLL contiene una shellcode cifrata che chiama il C2 e attende il payload finale.

Tecniche di evasione

La shellcode impiega una variante custom dell’algoritmo di hashing DBJ2 per la risoluzione delle API Windows, tecnica classica per evadere l’analisi statica. Il payload finale è un Beacon Marte di Cobalt Strike, configurato con C&C static.trendmicrotech.com:8443 (IPv6: 2 a06:98c1:3120::7 ) e URI path:

• GET /etc.clientlibs/microsoft/clientlibs/clientlib-mwf-new/resources/fonts
• POST /OneCollector/1.0

La scelta del domain name trendmicrotech.com, che mima il sito di Trend Micro, è significativa: secondo Tonello rappresenta un tentativo di ingannare gli analisti incident response che presumibilmente lavorano sul vendor di sicurezza utilizzato dal governo taiwanese.

Le altre campagne APT 41

Tonello ha mostrato i decoy delle campagne successive, tutte costruite attorno a temi di forte interesse per il target:

• 19 agosto 2024, Cina: un video di 30 secondi su un presunto caso di corruzione del vicedirettore Zhang Qing della stazione televisiva del Guizhou. Caso atipico perché il vettore non è un documento tradizionale (PDF, Word, Excel) ma un file video.
• 20 agosto 2024, Vietnam: decoy a tema Vietnam Oil and Gas, in linea con il quadro energetico regionale.
• 27 aprile 2024, Filippine: documento riservato sottratto alle forze armate filippine. La presenza del documento autentico nelle mani di APT 41 suggerisce una compromissione preesistente, con utilizzo del vettore MSC come lateral movement o per ampliare il foothold.
• 7 maggio 2024, Filippine: invito a una conferenza a Singapore indirizzato a Gilberto Teodoro, Segretario della Difesa filippino.

Approfondimento: Sticky Werewolf contro l’industria militare russa

Il secondo caso di studio riguarda Sticky Werewolf, gruppo di area ucraina che ha colpito società dell’industria militare russa con due campagne nel settembre 2024.

La campagna del 19 settembre 2024

Il file 19_09_2024.msc è stato distribuito con intercettazione estremamente bassa su VirusTotal, non rilevato nemmeno dai prodotti antivirus di lingua russa, target naturale di un’analisi prioritaria. La kill chain è particolarmente articolata:

File .MSC → CERTUTIL.EXE → CMD.EXE → POWERSHELL.EXE → EXCEL.EXE → ShellCode x64 → SLIVER

L’elemento anomalo è la posizione di Excel nella catena: di norma compare come vettore iniziale (documento Office con macro), mentre in questo caso è il processo finale prima dell’iniezione della shellcode, in un’inversione poco usuale dello schema living-off-the-land.

Il decoy e l’errore operativo

Il documento decoy è una falsa comunicazione del Ministero del Lavoro russo indirizzata alle industrie del settore militare, in cui si richiedono entro il 27 settembre informazioni dettagliate sui trainee che hanno svolto stage presso queste aziende: nome, cognome, data di nascita, città di residenza e indicazione dell’eventuale assunzione successiva. Si tratta, ha osservato Tonello, di una doppia campagna: cyber-spionaggio classico (con implant Sliver) sovrapposto a una operazione di intelligence umana (raccolta di anagrafiche di personale tecnico-militare).

L’elemento che ha incuriosito l’analista è un dettaglio apparentemente banale: l’indirizzo email del mittente sul documento riporta un dominio palesemente incoerente con un’amministrazione governativa russa ( mail.ru , dominio generico russo). Un errore vistoso in una campagna per il resto sofisticata, che ha probabilmente compromesso l’efficacia operativa della prima ondata.

La seconda campagna del 23 settembre 2024

Pochi giorni dopo Sticky Werewolf ha ripetuto l’attacco con uno schema analogo, distribuito stavolta in un archivio .7z:

File .7z → File .MSC → CERTUTIL.EXE → CMD.EXE → POWERSHELL.EXE → EXCEL.EXE → ShellCode x64 → SLIVER

Lo stesso testo del decoy, le stesse richieste informative, lo stesso pattern strutturale, ma l’email mittente è ancora falsa: un dato che suggerisce un livello di maturità operativa eterogeneo, in cui le competenze tecniche di sviluppo del payload non sono accompagnate da una pari attenzione al social engineering.

Conclusioni

Dall’intervento di Tonello emergono cinque punti chiave per chi si occupa di threat intelligence e di detection engineering:

1. Il file MSC è un vettore iniziale di attacco recente, comparso stabilmente nelle campagne APT a partire dal 2024.
2. Le vulnerabilità storicamente sfruttate sono state corrette (GrimResource corretta nell’ottobre 2024, MSC EvilTwin con CVE-2025-26633), ma il vettore può essere abusato anche senza vulnerabilità sfruttando le funzionalità native (ConsoleTaskpad, link diretto, personalizzazione dell’icona).
3. L’intercettazione in analisi statica è molto bassa, sia per antivirus sia per soluzioni EDR. Il gap di rilevamento è significativo e richiede policy di blocco preventivo a livello di gateway email e di esecuzione MMC.
4. L’utilizzo è quasi esclusivo di gruppi APT: nessuna campagna commodity con AgentTesla, Remcos, Snake Keylogger o infostealer simili è stata finora osservata distribuita via MSC, a conferma della natura mirata di questo vettore.
5. I framework C2 osservati come implant iniziale per la gestione del post-exploitation sono: Cobalt Strike, Brute Ratel, Sliver, Havoc, Mythic, a cui si aggiunge PlugX utilizzato da Dark Peony.

Il quadro complessivo è quello di una tecnica matura, adottata in modo coordinato da operatori di provenienza geografica e motivazioni eterogenee (Corea del Nord, Cina, Russia, Ucraina, India), in cui il file .msc funziona come Trojan horse perché unisce un formato apparentemente innocuo, un engine di rendering legacy (Internet Explorer), funzionalità native abusabili e un ecosistema di vulnerabilità note ma tardivamente patchate.