Nuove attività cybercrime, offensive state-sponsored cinesi e russe, sfruttata 0-day Windows e tracciato un nuovo malware

Cybercrime: identificati nuovi attacchi ransomware in Italia e la campagna PoisonSeed

Anche nell’ultima settimana, nuove rivendicazioni di target italiani sono comparse sui siti dei leak di diversi operatori ransomware. NightSpire ha annunciato la compromissione di Sistel S.r.l.; Akira Team di TIME S.r.l.; Qilin Team di Baucenter; Sarcoma Group di Gruppo CR; RansomHouse di Telecontrol Vigilanza S.r.l.; e DragonForce Team di Service Trade S.p.A. Restando in ambito crime, è stata identificata una nuova campagna di phishing a tema criptovalute denominata PoisonSeed, che prende di mira target che utilizzano provider di CRM (Customer Relationship Management) ed e-mail di massa (Mailchimp, SendGrid, Hubspot, Mailgun e Zoho) per rubare credenziali, esportare liste di indirizzi di posta elettronica e veicolare spam in grandi quantità. Lo spam inviato sfrutta un nuovo metodo di attacco chiamato cryptocurrency seed phrase poisoning, in cui le vittime ricevono seed phrase fraudolente e sono invitate a inserirle in nuovi wallet di criptovalute, permettendo successivamente agli attaccanti di prenderne il controllo e sottrarre fondi. PoisonSeed presenta alcune sovrapposizioni con due gruppi: Muddled Libra (alias Scattered Spider) e CryptoChameleon, entrambi legati a una community crime nota come “The Comm”. Tuttavia, PoisonSeed viene classificata in maniera distinta poiché, nonostante analogie nelle infrastrutture e nelle registrazioni dei domini, non esistono sovrapposizioni dirette con i kit di phishing utilizzati da questi due attaccanti, né corrispondenze totali nei loro metodi operativi. Si segnalano inoltre due episodi significativi collegati a PoisonSeed nel marzo 2025: la compromissione dell’account Mailchimp del fondatore di HaveIBeenPwned, Troy Hunt, tramite spear phishing; e l’utilizzo di un account SendGrid compromesso di Akamai per inviare spam crypto relativo a Coinbase, e ulteriori messaggi di phishing mirati ad almeno un’altra organizzazione.

APT: dettagli su operazioni cinesi e russe

Sono state rilevate operazioni e TTP di un APT collegato alla Cina – precedentemente non documentato – soprannominato Earth Alux, i cui attacchi di spionaggio si sono rivolti alle regioni dell’Asia Pacifica (APAC) e dell’America Latina, colpendo settori chiave, tra cui quelli governativo, tecnologico, logistico, manifatturiero, delle telecomunicazioni, dei servizi IT e della vendita al dettaglio. La prima attività è stata individuata prevalentemente nella regione APAC nel secondo trimestre del 2023, in Paesi come Thailandia, Filippine, Malesia e Taiwan; mentre, intorno alla metà del 2024, ne sono state rilevate altre anche in America Latina, con incidenti degni di nota segnalati in Brasile. Le catene d’infezione osservate iniziano generalmente con lo sfruttamento di servizi vulnerabili in server esposti per ottenere l’accesso iniziale e impiantare web shell quali Godzilla al fine di facilitare la consegna di payload aggiuntivi. Dopo aver ottenuto il controllo, Earth Alux installa una backdoor di primo livello – ovvero beacon Cobalt Strike (COBEACON) o una minaccia custom chiamata VARGEIT – tramite diversi metodi di caricamento. Oltre a ciò, l’avversario è stato osservato condurre test regolari per alcuni dei suoi strumenti al fine di garantire la furtività e la longevità nell’ambiente target. Nell’ambito di queste attività, adopera tool come VirTest, uno strumento di test ampiamente utilizzato dalla comunità di lingua cinese. D’altro canto, ricercatori di sicurezza hanno rilasciato nuovi dettagli su una campagna, attribuita al russo APT 29, rivolta contro organizzazioni governative e militari europee, tracciata nel mese di ottobre del 2024. L’operazione ha impiegato allegati con file .rdp firmati per stabilire connessioni Remote Desktop Protocol (RDP) dai computer delle vittime. A differenza degli attacchi RDP tipici, concentrati sulle sessioni interattive, questa offensiva ha sfruttato in modo creativo la redirezione delle risorse (mappando i file system dei target sui server dell’attaccante) e RemoteApps (presentando applicazioni controllate dall’avversario). Le evidenze suggeriscono che l’attacco potrebbe aver coinvolto l’utilizzo di un tool proxy RDP per automatizzare attività malevole quali l’esfiltrazione di dati e la cattura degli appunti. Tale tecnica è stata in precedenza definita come rogue RDP.

Windows: notificata 0-day e tracciato Neptune RAT

È stato osservato lo sfruttamento della 0-day CVE-2025-29824 a opera del RansomEXX Team (alias Storm-2460) contro un piccolo numero di target. Tra questi figurano organizzazioni del settore informatico e immobiliare degli Stati Uniti, di quello finanziario in Venezuela, delle vendite al dettaglio in Arabia Saudita e un’azienda di software in Spagna. La vulnerabilità è stata classificata come Windows Common Log File System Driver Elevation of Privilege. Si tratta di una Use After Free che consente a un utente autorizzato di elevare i privilegi localmente e ottenere privilegi SYSTEM. Sebbene non siano stati individuati i vettori di accesso iniziale che hanno portato alla compromissione dei dispositivi, in diversi casi l’attaccante ha utilizzato l’utility certutil per scaricare un file da un sito web legittimo di terze parti che era stato precedentemente compromesso per ospitare un malware. Il file recuperato è un MSBuild malevolo contenente un payload crittografato che, una volta decifrato ed eseguito tramite la callback API EnumCalendarInfoA, è risultato essere una backdoor modulare in uso dal 2023 denominata PipeMagic. Dopo la distribuzione di quest’ultima, l’avversario ha lanciato l’exploit CLFS in memoria da un processo dllhost.exe. Successivamente, è stato in grado di eseguire il dump della memoria LSASS e analizzarla per ottenere le credenziali dell’utente. Infine, è stata osservata l’attività del ransomware sui sistemi di target. I file sono stati crittografati, è stata aggiunta un’estensione casuale ed è stata rilasciata una nota di riscatto. Restando sempre in ambito Windows, è stato individuato un nuovo malware chiamato Neptune RAT, che si è diffuso su piattaforme quali GitHub, Telegram e YouTube, dove viene presentato come un software legittimo o strumento educativo. La versione più recente, Neptune RAT v2, include la capacità di generare comandi PowerShell sfruttando l’API di catbox[.]moe per ospitare file malevoli, mascherando il traffico e aggirando i sistemi di rilevamento tradizionali. Le sue capacità vanno oltre il controllo remoto e includono funzionalità di ransomware, password grabbing, clipboard hijacking (crypto clipper) e monitoraggio in tempo reale del desktop. Inoltre, il RAT raccoglie informazioni dettagliate sul sistema, come identificatori hardware, configurazioni di sicurezza, status di software antivirus e altri dati sensibili.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence