Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Cloud Atlas, Mirai e infostealer sotto lo stesso tetto: la mappa dell’infrastruttura del cybercrime

Cloud Atlas, Mirai e infostealer sotto lo stesso tetto: la mappa dell’infrastruttura del cybercrime

1 Luglio 2026 07:11
In sintesi

Hunt.io ha identificato oltre 3900 Command and Control (C2) server attivi in Europa Orientale tra marzo e giugno 2026, con una concentrazione significativa presso provider come Friendhosting LTD. Le stesse piattaforme servono sia campagne criminali di massa che operazioni complesse, coinvolgendo attori come Cobalt Strike e Mirai. È fondamentale monitorare le connessioni infrastrutturali ricorrenti per valutare il rischio associato a specifici provider.

Recentemente, gli esperti di Hunt.io hanno esaminato le infrastrutture dei cyberattacchi nell’Europa Orientale e hanno scoperto che ci sono molti server di controllo in questa zona. Tra il 12 marzo e il 12 giugno 2026, hanno trovato oltre 3900 server di controllo attivi presso 302 fornitori di servizi in 10 paesi, tra cui Bielorussia, Bulgaria, Repubblica Ceca, Ungheria, Polonia, Moldavia, Romania, Russia, Slovacchia e Ucraina.

Questi server di controllo sono molto importanti per le attività malevole, perché permettono agli operatori di inviare comandi ai computer infetti, di raccogliere dati rubati e di mantenere le campagne operative. Sono essenziali per il controllo delle attività malevole e gli attaccanti li utilizzano per gestire le loro operazioni.

La maggior parte dei C2 server è stata rilevata presso la società bulgara Friendhosting LTD, che ospita circa il 53,5% dei server identificati. Questo dato emerge chiaramente solo analizzando i livelli di hosting piuttosto che singoli domini o IP. Host Radar ha individuato complessivamente 4331 oggetti malevoli, tra cui C2 server, siti di phishing e indici di compromissione noti pubblicamente.

Advertising

Nello stesso periodo, il monitoraggio di Hunt.io ha rilevato diversi endpoint di comando e controllo (che consentono l’attivazione di attività dannose) potenzialmente dannosi, ospitati presso provider di infrastrutture dell’Europa orientale, a partire dall’attività collegata a 146.70.53[.]171 ospitato su M247 Europe SRL (AS9009), associato alle campagne APT di Cloud Atlas che prendono di mira enti governativi e diplomatici in Russia e Bielorussia.

I report di Kaspersky documentano una ripresa dell’attività di Cloud Atlas nella seconda metà del 2025 e all’inizio del 2026, sfruttando file ZIP di phishing con collegamenti LNK che avviano PowerShell , insieme a documenti Office potenzialmente dannosi che sfruttano la vulnerabilità CVE-2018-0802.

Tra i principali attori figurano Cobalt Strike, Mirai, Sliver, Gophish, Mozi e Hajime. Questo scenario indica che le stesse piattaforme dei provider servono sia per campagne criminali di massa che operazioni più complesse.

Gli autori del rapporto sottolineano l’importanza per le squadre di sicurezza di non basarsi solo su IP e domini, ma di considerare il rischio associato a specifici ASN (Autonomous System Numbers) e provider. È fondamentale monitorare le connessioni infrastrutturali ricorrenti e verificare se sorgenti di attività sospette siano state coinvolte in campagne passate.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


Luigi Zullo 300x300
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response