Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
C’è un equivoco duro a morire, soprattutto nelle organizzazioni “non tech”: il sito web viene trattato come una brochure digitale. Una vetrina. Un biglietto da visita. Roba di marketing. Ecco, GrayCharlie vive esattamente di questo equivoco: non ti attacca “il sito”, usa il sito come canale di distribuzione, come esca credibile, come passaggio psicologico per portare l’utente dove vuole lui. E quando l’utente ci arriva, spesso fa anche la parte dell’esecutore, con entusiasmo e senza rendersene conto.
Il report di Insikt Group (Recorded Future) racconta GrayCharlie come un attore attivo da metà 2023, con sovrapposizioni con SmartApeSG, e con un modus operandi ripetibile, scalabile, industriale: compromette siti WordPress e ci inietta link a JavaScript ospitato esternamente. Quel JavaScript, a sua volta, reindirizza i visitatori verso payload di NetSupport RAT, consegnati tramite finte pagine di aggiornamento del browser oppure tramite la tecnica ClickFix.
Qui vale la pena fermarsi un attimo: NetSupport nasce come strumento legittimo di remote administration, ma in queste campagne viene piegato a RAT “da marciapiede”, perfetto per un accesso iniziale rapido, poco costoso e facilmente rimpiazzabile. E soprattutto perfetto per la fase successiva: una volta che hai un canale di controllo sulla macchina, puoi fare ricognizione, muovere file, lanciare comandi, e decidere se monetizzare subito o “rivendere il biglietto d’ingresso”. Nel report, Insikt parla anche di casi in cui l’infezione “progredisce” verso Stealc (infostealer) e, più raramente, SectopRAT.
Le catene osservate sono due e, a livello difensivo, la differenza è meno “tecnica” di quanto sembri: cambia la scenografia, non cambia la sostanza. In un caso la vittima vede un finto aggiornamento del browser su un sito legittimo ma compromesso; nell’altro viene ingaggiata con un ClickFix che trasforma l’ingegneria sociale in esecuzione assistita dall’utente.
Nella catena del “browser update”, la parte interessante è la regia: l’utente scarica un pacchetto ZIP che sembra un update e contiene un file JavaScript “primario” insieme a file civetta. Quel JS viene eseguito manualmente, avvia wscript.exe, che a sua volta lancia powershell.exe per recuperare lo stage successivo. A un certo punto viene scaricato un altro ZIP, estratto in percorsi tipici dell’utente (ad esempio sotto %AppData%\Roaming), e viene eseguito client32.exe. La persistenza si chiude con la solita porta di servizio: Run key nel registro, così il RAT riparte a ogni logon.
Nella catena ClickFix, invece, il trucco è tutto psicologico: una finta CAPTCHA “copia” in silenzio un comando nella clipboard e ti istruisce a incollarlo nel Run di Windows (Win+R). È una forma di frode elegante e degradante allo stesso tempo: non ti sfrutta solo una vulnerabilità, ti sfrutta l’abitudine a fidarti delle istruzioni “di sistema”. Quel comando tira giù uno stage (batch), scarica lo ZIP con NetSupport RAT e lo estrae via PowerShell in %AppData%\Roaming, poi avvia client32.exe e imposta persistenza via registro. Anche qui, cambia la maschera, ma il percorso è coerente e ripetibile.
Fin qui potresti liquidarla come “opportunistica”: comprometto WordPress a strascico, prendo quello che arriva. Ed è vero che Insikt sottolinea come molte compromissioni siano trasversali a industrie diverse. Però nel report c’è un passaggio che alza l’asticella: viene identificato un cluster di siti di studi legali USA probabilmente compromessi attorno a novembre 2025, con un’ipotesi concreta di supply-chain compromise tramite un provider IT condiviso, a sua volta verosimilmente colpito da un infostealer.
E non è solo un’impressione. Il documento entra nel dettaglio di una possibile “piattaforma” comune: SMB Team, descritta come “law firm acceleration company”, il cui logo e riferimenti compaiono su diversi siti elencati. Il dato “gustoso” (si fa per dire) è la correlazione temporale: il 12 novembre 2025 emergono credenziali legate a un’email di SMB Team per identity.wpengine.com, e in coincidenza il dominio persistancejs[.]store inizia a risolvere. Insikt suggerisce che l’accesso possa essere avvenuto tramite credenziali rubate e che l’impatto possa anche essere indiretto (ad esempio attraverso un contractor di IT outsourcing).
Questa è la fotografia perfetta della supply chain “moderna”: non serve bucare quindici target, basta bucare chi li gestisce “tutti insieme”. E qui non parliamo di una dipendenza esotica: parliamo di hosting, managed WordPress, account di pannelli, plugin comuni, procedure di manutenzione e aggiornamento. La normalità, insomma.
Il report attribuisce a GrayCharlie una quantità significativa di infrastruttura, con legami forti verso provider come MivoCloud e HZ Hosting Ltd. Dentro ci trovi i classici mattoni: server C2 di NetSupport RAT, infrastruttura di staging (sia controllata dall’attore sia “presa in prestito” da sistemi compromessi), e livelli più alti usati per amministrare le operazioni.
Insikt descrive anche cluster NetSupport legati a pattern su certificati TLS, seriali/licenze e tempistiche, con hosting su MivoCloud e finestre di deployment ben delineate nel 2025. Non è “rumore”, è ripetizione operativa: stessi gesti, stessi tempi, stesso toolkit. E quando un avversario è ripetitivo, per il difensore è una buona notizia… a patto di guardare davvero i segnali giusti (e non solo il firewall).
C’è anche un dettaglio interessante sulla parte “web”: GrayCharlie inietta spesso gli script direttamente nel DOM dei WordPress compromessi usando tag script, con pattern URL ricorrenti (file JS esterni o endpoint PHP con parametri), e aggiorna nel tempo quegli URL, segno di accesso continuativo a un bacino ampio di installazioni WordPress violate. Quanto basta per trasformare un CMS “banale” in una rete di distribuzione malware su scala.
Insikt è piuttosto chiara sulle misure: usare gli IoC degli appendici per hunting retrospettivo, integrare indicatori e regole di detection (vengono citate Sigma, YARA e Snort), monitorare l’esfiltrazione e rafforzare controlli come email filtering e monitoraggio dei flussi dati verso infrastrutture note malevole.
Ma la lezione, in stile Red Hot Cyber, è più semplice e più cattiva: finché il sito web rimane “terra di nessuno” tra marketing, IT e fornitore esterno, ci sarà sempre qualcuno come GrayCharlie pronto a trasformarlo in un distributore automatico di RAT. E quando poi scopri che il problema non è “un plugin bucato” ma una catena di fornitura con credenziali riciclate, pannelli condivisi e gestione centralizzata, capisci anche perché l’attaccante preferisce la supply chain: costa meno, rende di più, e scala meglio.
Fonte: Recorded Future – Insikt Group, “GrayCharlie Hijacks Law Firm Sites in Suspected Supply-Chain Attack” (15 gennaio 2026).
