C’è un equivoco duro a morire, soprattutto nelle organizzazioni “non tech”: il sito web viene trattato come una brochure digitale. Una vetrina. Un biglietto da visita. Roba di marketing. Ecco, GrayCharlie vive esattamente di questo equivoco: non ti attacca “il sito”, usa il sito come canale di distribuzione, come esca credibile, come passaggio psicologico per portare l’utente dove vuole lui. E quando l’utente ci arriva, spesso fa anche la parte dell’esecutore, con entusiasmo e senza rendersene conto.
Il report di Insikt Group (Recorded Future) racconta GrayCharlie come un attore attivo da metà 2023, con sovrapposizioni con SmartApeSG, e con un modus operandi ripetibile, scalabile, industriale: compromette siti WordPress e ci inietta link a JavaScript ospitato esternamente. Quel JavaScript, a sua volta, reindirizza i visitatori verso payload di NetSupport RAT, consegnati tramite finte pagine di aggiornamento del browser oppure tramite la tecnica ClickFix.
Qui vale la pena fermarsi un attimo: NetSupport nasce come strumento legittimo di remote administration, ma in queste campagne viene piegato a RAT “da marciapiede”, perfetto per un accesso iniziale rapido, poco costoso e facilmente rimpiazzabile. E soprattutto perfetto per la fase successiva: una volta che hai un canale di controllo sulla macchina, puoi fare ricognizione, muovere file, lanciare comandi, e decidere se monetizzare subito o “rivendere il biglietto d’ingresso”. Nel report, Insikt parla anche di casi in cui l’infezione “progredisce” verso Stealc (infostealer) e, più raramente, SectopRAT.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le catene osservate sono due e, a livello difensivo, la differenza è meno “tecnica” di quanto sembri: cambia la scenografia, non cambia la sostanza. In un caso la vittima vede un finto aggiornamento del browser su un sito legittimo ma compromesso; nell’altro viene ingaggiata con un ClickFix che trasforma l’ingegneria sociale in esecuzione assistita dall’utente.
Nella catena del “browser update”, la parte interessante è la regia: l’utente scarica un pacchetto ZIP che sembra un update e contiene un file JavaScript “primario” insieme a file civetta. Quel JS viene eseguito manualmente, avvia wscript.exe, che a sua volta lancia powershell.exe per recuperare lo stage successivo. A un certo punto viene scaricato un altro ZIP, estratto in percorsi tipici dell’utente (ad esempio sotto %AppData%\Roaming), e viene eseguito client32.exe. La persistenza si chiude con la solita porta di servizio: Run key nel registro, così il RAT riparte a ogni logon.
Nella catena ClickFix, invece, il trucco è tutto psicologico: una finta CAPTCHA “copia” in silenzio un comando nella clipboard e ti istruisce a incollarlo nel Run di Windows (Win+R). È una forma di frode elegante e degradante allo stesso tempo: non ti sfrutta solo una vulnerabilità, ti sfrutta l’abitudine a fidarti delle istruzioni “di sistema”. Quel comando tira giù uno stage (batch), scarica lo ZIP con NetSupport RAT e lo estrae via PowerShell in %AppData%\Roaming, poi avvia client32.exe e imposta persistenza via registro. Anche qui, cambia la maschera, ma il percorso è coerente e ripetibile.
Fin qui potresti liquidarla come “opportunistica”: comprometto WordPress a strascico, prendo quello che arriva. Ed è vero che Insikt sottolinea come molte compromissioni siano trasversali a industrie diverse. Però nel report c’è un passaggio che alza l’asticella: viene identificato un cluster di siti di studi legali USA probabilmente compromessi attorno a novembre 2025, con un’ipotesi concreta di supply-chain compromise tramite un provider IT condiviso, a sua volta verosimilmente colpito da un infostealer.
E non è solo un’impressione. Il documento entra nel dettaglio di una possibile “piattaforma” comune: SMB Team, descritta come “law firm acceleration company”, il cui logo e riferimenti compaiono su diversi siti elencati. Il dato “gustoso” (si fa per dire) è la correlazione temporale: il 12 novembre 2025 emergono credenziali legate a un’email di SMB Team per identity.wpengine.com, e in coincidenza il dominio persistancejs[.]store inizia a risolvere. Insikt suggerisce che l’accesso possa essere avvenuto tramite credenziali rubate e che l’impatto possa anche essere indiretto (ad esempio attraverso un contractor di IT outsourcing).
Questa è la fotografia perfetta della supply chain “moderna”: non serve bucare quindici target, basta bucare chi li gestisce “tutti insieme”. E qui non parliamo di una dipendenza esotica: parliamo di hosting, managed WordPress, account di pannelli, plugin comuni, procedure di manutenzione e aggiornamento. La normalità, insomma.
Il report attribuisce a GrayCharlie una quantità significativa di infrastruttura, con legami forti verso provider come MivoCloud e HZ Hosting Ltd. Dentro ci trovi i classici mattoni: server C2 di NetSupport RAT, infrastruttura di staging (sia controllata dall’attore sia “presa in prestito” da sistemi compromessi), e livelli più alti usati per amministrare le operazioni.
Insikt descrive anche cluster NetSupport legati a pattern su certificati TLS, seriali/licenze e tempistiche, con hosting su MivoCloud e finestre di deployment ben delineate nel 2025. Non è “rumore”, è ripetizione operativa: stessi gesti, stessi tempi, stesso toolkit. E quando un avversario è ripetitivo, per il difensore è una buona notizia… a patto di guardare davvero i segnali giusti (e non solo il firewall).
C’è anche un dettaglio interessante sulla parte “web”: GrayCharlie inietta spesso gli script direttamente nel DOM dei WordPress compromessi usando tag script, con pattern URL ricorrenti (file JS esterni o endpoint PHP con parametri), e aggiorna nel tempo quegli URL, segno di accesso continuativo a un bacino ampio di installazioni WordPress violate. Quanto basta per trasformare un CMS “banale” in una rete di distribuzione malware su scala.
Insikt è piuttosto chiara sulle misure: usare gli IoC degli appendici per hunting retrospettivo, integrare indicatori e regole di detection (vengono citate Sigma, YARA e Snort), monitorare l’esfiltrazione e rafforzare controlli come email filtering e monitoraggio dei flussi dati verso infrastrutture note malevole.
Ma la lezione, in stile Red Hot Cyber, è più semplice e più cattiva: finché il sito web rimane “terra di nessuno” tra marketing, IT e fornitore esterno, ci sarà sempre qualcuno come GrayCharlie pronto a trasformarlo in un distributore automatico di RAT. E quando poi scopri che il problema non è “un plugin bucato” ma una catena di fornitura con credenziali riciclate, pannelli condivisi e gestione centralizzata, capisci anche perché l’attaccante preferisce la supply chain: costa meno, rende di più, e scala meglio.
Fonte: Recorded Future – Insikt Group, “GrayCharlie Hijacks Law Firm Sites in Suspected Supply-Chain Attack” (15 gennaio 2026).
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Cyberpolitica
Cybercrime
Cultura
Cybercrime