Nella precedente analisi era rimasto il dubbio sull’identità del malware distribuito. Nella giornata di ieri un ricercatore ha commentato il nostro post su X suggerendo che il payload finale sia VioletRAT v4.7, indicando inoltre un C2 differente rispetto a quello individuato nella nostra analisi. Questo potrebbe indicare che il sample da noi analizzato provenga da una campagna distinta, ma che utilizza infrastruttura o tecniche operative molto simili.

L’oggetto dell’email fa riferimento ad “ANBSC”, acronimo dell’Agenzia Nazionale per l’amministrazione e la destinazione dei beni sequestrati e confiscati alla criminalità organizzata, con sede in Via Ezio, Roma. Tuttavia, nel footer del messaggio è riportato l’indirizzo “Via Giorgione 106, Roma”, sede dell’Agenzia delle Entrate.

La presenza di riferimenti a due enti distinti suggerisce un tentativo generico di simulazione istituzionale, caratterizzato da incongruenze che ne riducono la credibilità formale ma possono risultare comunque efficaci in un contesto di social engineering.