Fox Kitten e Br0k3r: Il Cyber Contractor Iraniano che Collabora con le Ransomware Gang

Antonio Piovesan : 26 Giugno 2025 09:26

Continuiamo la serie di articoli sugli IAB scrivendo di un cyber contractor iraniano che non solo lavora come broker di accesso iniziale ma fornisce supporto alle ransomware gang per riempire di denaro le loro e le proprie tasche.

In un report del CISA pubblicato ad Agosto 2024,  CISA, FBI e la divisione crimini informatici del DoD (Dipartimento della Difesa) affermano che un gruppo iraniano rintracciato come “Pioneer Kitten”, “Fox Kitten”, “UNC757”, “Parisite”, “RUBIDIUM” o “Lemon Sandstorm” ha avuto successo nel cyber crime nella vendita di accessi a reti aziendali violabili. Il gruppo ha operato utilizzando anche altri nomi come “Br0k3r” e “xplfinder” ed è stato osservato mentre vendeva accessi ad affiliati di operazioni RaaS come  AlphV/BlackCat, NoEscape e RansomHouse.

Il report di CISA indica anche che nei casi in cui gli affiliati allo schema RaaS hanno avuto difficoltà nel crittografare i device nella rete della vittima, i membri dell’APT iraniano (il gruppo è infatti noto anche come APT33) hanno anche fornito aiuto in cambio di una percentuale sul riscatto ottenuto.

Vettori di attacchi

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Nella ricerca è stato evidenziato come “Br0K3r” ottenga accessi alle reti violando vecchie vulnerabilità/CVE come quelle (pre 2024)

• dei gateway Citrix Netscaler (CVE-2019-19781, CVE-2023-3519)
• dei bilanciatori di carico F5 BIG-IP (CVE-2022-1388),

ma anche exploit più recenti (CVE del 2024)

• per i gateway sicuri di Check Point (CVE-2024-24919) e
• per i dispositivi PAN-OS e GlobalProtect VPN di Palo Alto Networks (CVE-2024-3400).

Il rapporto identifica il gruppo come formato da dipendenti di una società iraniana denominata Danesh Novin Sahand, il che fa sperare alcune delle loro vittime che vi sia la possibilità di portare un’accusa ufficiale nel prossimo futuro a tale organizzazione, forse in una corte internazionale.

Panoramica sui dettagli tecnici

Fox Kitten utilizza il motore di ricerca Shodan per identificare gli indirizzi IP che ospitano dispositivi vulnerabili a exploit specifici, come Citrix Netscaler, F5 Big-IP, Pulse Secure/Ivanti VPN o firewall PanOS. Una volta sfruttate le vulnerabilità, l’attore installa webshell e cattura credenziali di accesso prima di creare attività dannose per aggiungere malware backdoor e continuare a compromettere i sistemi. Vengono anche creati nuovi account con nomi che richiamano utenze di tipo ADMIN e vengono disattivati i sistemi EDR/Antivirus. In seguito, verrà fornito nell’articolo  un maggiore dettaglio citando le TTPs citate nel rapporto CISA nel paragrafo “Tattiche, tecniche e procedure (TTP) “.

Siti onion di Br0k3r

Br0k3r ha adottato un nuovo approccio al modello commerciale IAB, utilizzando un sito ospitato da un singolo fornitore Tor per pubblicizzare i propri accessi su più forum. Questo sito Tor include istruzioni per le richieste e le modalità di acquisto dell’accesso. Secondo Br0k3r, ogni vendita di accesso include credenziali di amministratore di dominio (DA) di Windows, credenziali utente e hash di password di Active Directory (AD), zone e oggetti DNS e trust di dominio di Windows.

Il sito e il sistema sviluppati da Br0k3r sarebbero gestiti dallo stesso Br0k3r e non sarebbero collegati ad altri attori delle minacce. Ciò è dovuto al fatto che Br0k3r può creare fiducia nella sua clientela di criminali informatici. Si tratta di un servizio uno-a-molti e non di un mercato

APT33 risulta essere un gruppo sponsorizzato dallo Stato iraniano attivo almeno dal 2013 (alcune fonti citano però essere attivo dal 2017). Ha preso di mira organizzazioni negli Stati Uniti, in Arabia Saudita e in Corea del Sud, con una forte attenzione ai settori dell’aviazione e dell’energia. Date le sue capacità di attacco e la sovrapposizione di attività con altre minacce costanti iraniane e la vittimologia condivisa, si ipotizza essere un gruppo legato al Corpo delle guardie rivoluzionarie islamiche (IRGC).

L’APT33, come altri gruppi subordinati all’IRGC, si aggiudica contratti nel mondo IT per operare sotto le mentite spoglie di un’azienda privata (per questo APT il nome della azienda è “Danesh Novin Sahand”) per renderne più difficile il tracciamento delle attività / l’attribuzione.

Storicamente, APT33 è stato associato a campagne di hacking e leaking, come l’operazione Pay2Key (https://research.checkpoint.com/2020/ransomware-alert-pay2key/) alla fine del 2020, un’operazione di guerra informatica volta a minare la sicurezza informatica delle infrastrutture israeliane. Nel caso delle attività del gruppo APT33, sembra che si concentrino principalmente sul furto di credenziali e informazioni sensibili.

Br0k3r ora afferma sul sito web che “numerose bande di ransomware attive lavorano con me in una discreta percentuale [sic]”. Ciò evidenzia come Br0k3r esemplifichi il fatto che il rapporto tra gli operatori di ransomware e i broker di accesso iniziale (IAB) sia di reciproco vantaggio.

Lo Shop di Br0k3r consente agli operatori di ransomware di concentrarsi sul movimento laterale, sul furto di dati, sull’implementazione del payload del ransomware e sull’estorsione, anziché dedicare il proprio tempo al lungo lavoro per ottenere l’accesso alla rete. Gli operatori di ransomware forniscono inoltre un flusso di entrate costante a Br0k3r. Il costo dell’accesso è trascurabile rispetto al riscatto richiesto alle vittime, il che ha fatto esplodere il numero di offerte di vendita dell’accesso alle organizzazioni compromesse.

Secondo SANS, chi decide di acquistare accessi da Br0k3r. riceve anche un’anteprima della rete di cui sta comprando credenziali di accesso. Questa include i domini della vittima e un riepilogo dell’organizzazione della vittima tratto da ZoomInfo. Per dimostrare che l’accesso è legittimo, Br0k3r offre anche la prova dei privilegi di amministratore di dominio, del livello di accesso aziendale, delle dimensioni della rete e del sistema antivirus o di rilevamento e risposta degli endpoint (EDR) in uso. Una volta che il potenziale acquirente conferma di avere un portafoglio con fondi disponibili, l’affare viene concluso.

Implicazioni

Queste attività di vendita di accessi puntano ad ampliare la portata delle minacce cyber da parte di attori con sede in Iran, riferisce il rapporto. All’inizio del 2024, FBI, CISA e il Dipartimento della Salute e dei Servizi Umani hanno aggiornato il loro allarme di sicurezza informatica su ALPHV (gang cliente dello IAB Br0k3r) per evidenziare nuovi indicatori di compromissione specificamente rivolti al settore sanitario. Nonostante i tentativi di FBI di interrompere le operazioni di gruppi di ransomware come ALPHV, questi gruppi continuano a rappresentare una minaccia significativa.

Motivazioni dello IAB

Spionaggio, sabotaggio, denaro.

Stati/Settori Target

USA, Israele, Azerbaidjan, Arabia Saudita, Corea del sud

Settori: Istituzioni finanziarie, Aviazione, Energia, Istruzione, Governo, Sanità

Vettori di attacco

Uso di proxy, Spearphishing, applicazioni rivolte al pubblico, messaggistica sui social media, pacchetti dannosi (NPM, Pip), Watering hole, attacchi alla Supply Chain

Tools & Malware

Wiper: Shamoon

Custom backdoor: Tickler, FalseFont

Remote Access Trojan: QuasarRAT

TOX id usati da Br0k3r

Jabber/XMPP ID br0k3r[@]xmpp[.]jp

Scenari principali in cui l’attore ha operato

Pay2Key (Ottobre 2024)

Due dozzine di aziende israeliane sono state prese di mira nell’ottobre 2024: prove forensi collegano la campagna a Fox Kitten. JNS riporta che una di esse è collegata al sistema di difesa aerea di Israele noto con il nome Iron Dome: “Fox Kitten, nella campagna Pay2Key, ha affermato di essere riuscito a violare il sistema informatico della società Elta Systems, filiale di Israel Aerospace Industries (IAI), che ha sviluppato il radar utilizzato nel sistema di difesa missilistico Iron Dome;  Fox Kitten/Br0k3r avrebbe diffuso dati sensibili sul dark web”.

“Knock Knock! Tonight is longer than longest night for @ILAerospaceIAI”

“Toc Toc! Questa notte è più lunga della notte più lunga per @ILAerospaceIAI”

ha twittato dopo l’attacco del 2024.

Tattiche, tecniche e procedure (TTP)

Panoramica delle tattiche, delle tecniche e delle procedure osservate secondo il rapporto CISA. Le intrusioni iniziali di questo attore iraniano si basano sullo sfruttamento di servizi esterni remoti su risorse esposte in Internet per ottenere l’accesso iniziale alle reti delle vittime.

A partire dal luglio 2024, questo attore è stato osservato scansionare indirizzi IP che ospitano gateway di sicurezza Check Point, alla ricerca di dispositivi potenzialmente vulnerabili a CVE2024-24919. Da aprile 2024, ha condotto una scansione di massa degli indirizzi IP che ospitano i sistemi PAN-OS e GlobalPOS di Palo Alto Networks: era molto probabilmente in atto una ricognizione ed un rilevamento di dispositivi vulnerabili a CVE-2024-3400. Storicamente, questo gruppo ha violato le aziende sfruttando CVE-2019-19781 e CVE-2023-3519 relative a Citrix Netscaler e CVE-2022-1388 relative ai dispositivi BIG-IP F5.

Ricognizione, accesso iniziale, persistenza e accesso alle credenziali

L’attore è stato osservato mentre utilizzava il motore di ricerca Shodan per identificare ed enumerare gli indirizzi IP che ospitano dispositivi vulnerabili a un particolare CVE. L’accesso iniziale degli attori è solitamente ottenuto sfruttando un dispositivo di rete esposto al pubblico, come Citrix Netscaler (CVE-2019-19781 e CVE-2023-3519), F5 BIG-IP (CVE-2022-1388), Pulse Secure/Ivanti VPN (CVE-2024-21887) e, più recentemente, PanOS (CVE-2024-3400).

Dopo aver violato i dispositivi vulnerabili, vengono utilizzate le seguenti tecniche:

• Cattura di credenziali di accesso tramite webshell sui dispositivi Netscaler compromessi e aggiunta di esse al file denominato netscaler.1 nella stessa directory della webshell.
• Creazione della directory /var/vpn/themes/imgs/ sui dispositivi Citrix Netscaler per distribuire una webshell. I file dannosi distribuiti in questa directory includono:
  • netscaler.1
  • netscaler.php
  • ctxHeaderLogon.php

• Per quanto riguarda specificamente Netscaler, posizionamento di ulteriori webshell sui dispositivi compromessi immediatamente dopo che i proprietari del sistema hanno applicato una patch alla vulnerabilità sfruttata. Sui dispositivi sono stati osservati i seguenti percorsi e nomi di file:
  • /netscaler/logon/LogonPoint/uiareas/ui_style.php
  • /netscaler/logon/sanpdebug.php

• Creazione della directory “/xui/common/images/” su indirizzi IP mirati.
• Creazione di account sulle reti delle vittime; i nomi osservati includono “sqladmin$”, “adfsservice“, “IIS_Admin“, “iis-admin” e “John McCain“.
• Richiesta di esenzioni alle politiche di sicurezza e di applicazione zero-trust per gli strumenti che intendono distribuire come malevoli sulla rete della vittima.
• Creazione di un’attività pianificata dannosa SpaceAgentTaskMgrSHR nella cartella delle attività di Windows/Spaceport. Questo task utilizza una tecnica di side-loading di DLL contro l’eseguibile firmato Microsoft SysInternals contig.exe, che può essere rinominato in dllhost.ext, per caricare un payload da version.dll. Questo file è stato osservato mentre veniva eseguito dalla directory “Download” di Windows.
• Creazione di una backdoor maligna “version.dll” nella directory C:\Windows\ADFS\.
• Creazione di un’attività pianificata per caricare il malware attraverso le backdoor installate.
• Distribuzione di “Meshcentral” per connettersi ai server compromessi per l’accesso remoto.
• Creazione di un’attività di servizio Windows giornaliera con otto caratteri casuali e tentativo di esecuzione di una DLL dal nome simile contenuta in un file in C:\Windows\system32\drivers\. Ad esempio, è stato osservato un servizio denominato “test” che tentava di caricare un file il cui percorso completo era  C:\WINDOWS\system32\drivers\test.sys.

Execution, Privilege Escalation, and Defense Evasion

• Riutilizzo di credenziali compromesse dallo sfruttamento di dispositivi di rete, come Citrix Netscaler, per accedere ad altre applicazioni (ad esempio, Citrix XenDesktop).
• Riutilizzo di credenziali amministrative degli amministratori di rete per accedere ai controller di dominio e ad altre infrastrutture sulle reti delle vittime.
• Utilizzo di credenziali di amministratore per disabilitare il software antivirus e di sicurezza e abbassare i criteri PowerShell a un livello di sicurezza inferiore.
• Tentativo di inserire i tool usati dall’attore malevolo nella white list dei tool permessi dai sw di sicurezza dei dispositivi e della rete.
• Utilizzo di un account amministratore compromesso per avviare una sessione desktop remota su un altro server della rete. In un caso, l’FBI ha osservato che questa tecnica è stata utilizzata per tentare di avviare Microsoft Windows PowerShell Integrated Scripted Environment (ISE) per eseguire il comando “InvokeWebRequest” con un URI che include files.catbox[.]moe. Catbox è un sito di file hosting online gratuito che gli attori utilizzano come repository/meccanismo di hosting.

Discovery

• Esportazione degli hives del registro di sistema e delle configurazioni del firewall di rete sui server compromessi.
• Esfiltrazione dei nomi degli account dal controller di dominio vittima, nonché accesso ai file di configurazione, ai log e ai registri, presumibilmente per raccogliere informazioni sugli account di rete e degli utenti da utilizzare per un ulteriore violazione.

Command e control

• Installazione di un programma di accesso remoto tipo “AnyDesk” come metodo di accesso di backup
• Abilitazione di server all’uso di Windows PowerShell Web Access
• Utilizzo di uno strumento di tunneling open source Ligolo (ligolo/ligolo-ng)
• Utilizzo della distribuzione NGROK (ngrok[.]io) per creare connessioni in uscita a un sottodominio casuale.

IoC

Il rapporto CISA Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations | CISA contiene anche IoC in formato STYX scaricabili.

Conclusione

FBI e CISA raccomandano a tutte le organizzazioni di implementare le misure di mitigazione per migliorare la propria postura di sicurezza informatica in base alla attività del gruppo informatico iraniano. FBI ritiene che l’obiettivo del gruppo si basi principalmente sull’identificazione di dispositivi vulnerabili alle CVE citate quindi, qualsiasi organizzazione dovrebbe difendersi dallo sfruttamento delle vulnerabilità note con politiche di patching e sostituzione degli apparati e dei software deprecati/obsoleti soprattutto se esposti su IP pubblici.

Sono sempre da tenere in considerazione, inoltre, le best practice descritte nel precedente articolo sullo IAB miyako al paragrafo “Strategie di difesa contro gli IAB”:

• Controlli di Accesso Forti
• Segmentazione/micro segmentazione della rete
• Monitoraggio Continuo e Rilevamento delle Minacce
• Formazione e Consapevolezza dei Dipendenti
• Piani di risposta agli incidenti
• Soluzioni di Backup e recupero Sicure
• Servizi di Intelligence sulle minacce

L33t / 1337 code

Leet (a volte scritto come “1337” o “l33t”), noto anche come eleet o leetspeak, è un altro alfabeto per la lingua inglese o italiana (o altra lingua) utilizzato soprattutto su Internet. Utilizza varie combinazioni di caratteri ASCII per sostituire le lettere latine con numeri che assomigliano alle lettere o numeri che le possono ricordare.

Br0k3r … ricorda Broker … come m13l3, ricorda miele e scu014, scuola … un ottimo approcio per rendere più complicate le nostre password.

1337 41n’t s0 7rIckY!

Bibliografica

• Outpost24.com IAB-and-links-to-ransomware.pdf
• Risky Biz https://news.risky.biz/risky-biz-news-iranian-apt-moonlights-as-access-broker-and-ransomware-helper
• Sekoia https://blog.sekoia.io/cyber-threats-impacting-the-financial-sector-in-2024-focus-on-the-main-actors
• WatchGuard https://www.watchguard.com/it/wgrd-ransomware/alphv
• Checkpoint https://research.checkpoint.com/2020/ransomware-alert-pay2key
• Cisco DUO su UNC757 https://duo.com/decipher/u-s-government-warns-of-iran-based-unc757-attacks
• CrowStrike su Pioneer Kitten https://www.crowdstrike.com/en-us/blog/who-is-pioneer-kitten
• TechRepublic su Fox Kitten https://www.techrepublic.com/article/iran-cyber-attack-fox-kitten
• CISA.gov report Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations | CISA
• CISA.gov report tech details https://www.ic3.gov/CSA/2024/240828.pdf
• JNS Iranian hacker group claims to have penetrated IAI subsidiary – JNS.org
• MITRE su FOX Kitten https://attack.mitre.org/groups/G0117

Antonio Piovesan
Laureato in ingegneria Informatica nel 2002, certificato CISSP dal 2023, entra nel mondo ICT come analista/full stack developer. Prosegue nella formazione frequentando un executive Master in cybersecurity e data protection presso 24ORE Business School. Si occupa ora di temi legati alla cybersecurity governance in ambito grande distribuzione organizzata. Nutre una forte passione per la tecnologia, l’innovazione e la cybersecurity, favorendo la diffusione della consapevolezza al rischio digitale. Ama leggere libri sulla storia della matematica ed è un appassionato di letteratura e cinematografia fantascientifica.

Lista degli articoli