Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli attaccanti sapevano già tutto, molto prima che qualcuno iniziasse a parlarne davvero.
E non è la solita storia di vulnerabilità sfruttata all’ultimo minuto. Qui si parla di settimane di vantaggio. Un’eternità, se lavori nella sicurezza. Il punto di partenza è una vulnerabilità critica, identificata come CVE-2026-20131, nel Cisco Secure Firewall Management Center. Permette a un attaccante remoto, senza autenticazione, di eseguire codice Java con privilegi root.
Sembra già grave così ma il problema vero arriva dopo.
I ricercatori di Amazon hanno scoperto che il gruppo ransomware Interlock stava sfruttando questa falla già dal 26 gennaio 2026. Tradotto: 36 giorni prima della divulgazione ufficiale. Un vero zero-day, usato senza che nessuno sospettasse nulla.
Per arrivarci, Amazon ha usato MadPot, una rete globale di honeypot. E proprio lì sono emerse richieste HTTP con codice Java malevolo e URL pensati per verificare se l’attacco funzionava.
Un errore banale degli attaccanti ha cambiato tutto. Un server mal configurato ha esposto l’intero arsenale operativo del gruppo. Dentro c’era di tutto: trojan di accesso remoto, script di ricognizione, strumenti per evitare i controlli. Una visione completa della catena d’attacco.
Per esempio, dopo l’accesso iniziale, veniva eseguito uno script PowerShell capace di raccogliere informazioni dettagliate: sistema operativo, software installato, connessioni di rete, perfino dati dei browser. E poi compressione, organizzazione per host tutto pronto per una fase successiva più distruttiva.
C’è anche un dettaglio interessante. Gli analisti hanno simulato un sistema compromesso, inducendo gli attaccanti a proseguire l’attacco. Così hanno ottenuto il payload successivo: un file ELF malevolo scaricato da un server remoto.
Interlock non si è limitato a un singolo accesso. Ha costruito più livelli di controllo. Sono stati identificati trojan personalizzati, scritti sia in JavaScript che in Java, capaci di mantenere comunicazioni cifrate tramite WebSocket e di eseguire comandi da remoto. In pratica, un accesso continuo e difficile da intercettare.
E non finisce qui. Una webshell in memoria permetteva di eseguire codice senza lasciare tracce su disco. Era quindi fileless, invisibile ai controlli tradizionali. Questo tipo di approccio è sempre più comune, e sinceramente preoccupante.
Gli attaccanti hanno creato una rete di server proxy per nascondere il traffico, cancellando i log ogni cinque minuti. Ogni traccia era eliminata quasi in tempo reale. Hanno anche usato strumenti legittimi come ConnectWise ScreenConnect. Una mossa furba: se trovi una backdoor, ce n’è un’altra pronta.
Interlock non attacca a caso. Punta a settori dove il blocco operativo crea pressione immediata. Educazione in testa, poi ingegneria, costruzioni, sanità e settore pubblico. Ambiti dove fermarsi non è un’opzione.
Le note di riscatto includono riferimenti a normative sulla protezione dei dati. Non è solo una minaccia tecnica, ma anche legale. Un doppio colpo. Secondo l’analisi temporale, il gruppo opererebbe con fuso UTC+3, con attività concentrate tra mezzogiorno e le 18. Piccoli dettagli, ma utili per capire chi c’è dietro.
Le indicazioni sono dirette: applicare immediatamente le patch rilasciate da Cisco e controllare gli indicatori di compromissione. Non c’è molto spazio per rimandare. Quando una vulnerabilità viene sfruttata prima ancora di essere pubblica, il tempo diventa il fattore più fragile. La ricerca è stata condotta da Amazon, che ha condiviso i dettagli completi nell’analisi originale.
Per Red Hot Cyber, questa vicenda mostra ancora una volta quanto sia sottile il margine tra difesa e compromissione. Non basta reagire velocemente, bisogna anticipare le minacce e controllare sempre cosa sta accadendo sulle superfici esposte. E forse, oggi più che mai, serve accettare che l’attaccante può essere già uscito dalle nostre infrastrutture, mentre stiamo ancora comprendendo e leggendo i log sul siem.
