Ink Dragon alza l’asticella in Europa: ShadowPad su IIS, FinalDraft su Graph API

Questa notizia ci arriva dal feed News & Research di Recorded Future (Insikt Group): Check Point Research ha documentato una nuova ondata di attività attribuita al threat actor China-linked Ink Dragon, con un’espansione più marcata verso reti governative europee (non più “solo” Sud-Est asiatico e Sud America).

Ed è qui che il punto diventa scomodo: quando nel mirino ci sono i “government targets in Europe”, l’Italia non è un’eccezione folkloristica. È un target naturale: PA centrale e locale, difesa/fornitori, telco e tutto quell’indotto che vive di intranet, portali, documentali e “SharePoint che tanto è interno”. Spoiler: spesso non lo è.

Cosa sta facendo Ink Dragon (e perché è più fastidioso del solito)

Check Point descrive una catena operativa molto “pulita” e ripetibile: ingresso da web server esposti (IIS/SharePoint), movimento laterale, raccolta credenziali, escalation e poi due mosse chiave:

1) Trasformare le vittime in infrastruttura (relay network)
Ink Dragon usa un modulo ShadowPad su IIS (“ShadowPad IIS Listener”) per convertire server compromessi in nodi di una rete di relay: ogni nuovo server bucato diventa un “hop” che inoltra traffico e comandi, rendendo più difficile capire origine e direzione del C2. In pratica, un ente compromesso può diventare il ponte per operazioni contro altri enti.

2) Stabilizzare la persistenza con FinalDraft e C2 “cloud-native”
La variante osservata di FinalDraft porta la mimetizzazione a un livello superiore: abusa Microsoft Graph API per scambiare comandi e output dentro bozze di email (mailbox drafts). Tradotto: a livello rete puoi vedere traffico che assomiglia a normalissima attività Microsoft 365/Graph e quindi passa in mezzo a whitelist, proxy “permissivi” e controlli superficiali.

L’ingresso: IIS misconfigurati, machineKey e la scia di ToolShell

Qui arriva la parte “triste ma vera”: Ink Dragon continua a monetizzare (in chiave spionaggio) errori noti da anni: ASP.NET machineKey prevedibili o mal gestite e attacchi di ViewState deserialization su IIS/SharePoint.

Quando invece si parla di ToolShell su SharePoint on-prem, la musica la conosciamo già dal 2025: sfruttamento in the wild, PoC pubblici, scanning di massa e catena che porta a webshell/estrazione chiavi/possibile RCE. In Italia, diversi bollettini CSIRT regionali hanno riportato i dettagli operativi dell’abuso dell’endpoint ToolPane e del ruolo di __VIEWSTATE nella catena.

Per dare un riferimento “istituzionale” anche fuori dai confini: CERT-EU ha riassunto l’impatto delle vulnerabilità SharePoint on-prem (con sfruttamento attivo) e la necessità di isolamento/verifiche prima e durante la remediation. E su NVD trovi descrizione e contesto di CVE-2025-53770 (deserializzazione non attendibile, RCE su SharePoint on-prem, exploit noto “in the wild”).

“Ok, ma l’Italia?”

Se sei un CISO/IT manager italiano e pensi “noi non siamo un ministero”, ti propongo una visione meno romantica e più realistica:

In Italia abbiamo un’alta densità di organizzazioni che usano ancora SharePoint on-prem e IIS per portali, workflow e documentali, spesso esposti “per comodità” (partner, fornitori, smart working, integrazioni). Quando un attore come Ink Dragon entra da lì, non sta cercando il tuo listino prezzi: sta cercando credibilità di rete, relazioni, caselle email, documenti e accessi. E se ti trasforma in relay node, non sei solo vittima: diventi (inconsapevolmente) pezzo dell’infrastruttura di una campagna di spionaggio.

C’è un secondo punto, ancora più “italiano”: la supply chain. Anche quando il bersaglio finale è un ente governativo, gli appaltatori e i fornitori (ICT, consulenza, service provider, facility con accessi) sono spesso la scorciatoia. E noi, di scorciatoie, ne abbiamo inventate parecchie.

Nota laterale: quando nello stesso ambiente entrano in due

Check Point segnala anche un elemento interessante: in alcune delle stesse reti governative europee sarebbe stata osservata attività anche di RudePanda, non correlata operativamente a Ink Dragon ma presente in parallelo, sfruttando la stessa debolezza esposta. È il promemoria più brutale del 2025-2026: una porta aperta non attira “un” attaccante. Attira una fila.

Cosa fare adesso

Non ti lascio la “lista della spesa” infinita. Però alcune priorità sono non negoziabili:

1. Censimento immediato di SharePoint on-prem e IIS esposti (e dei pubblicati “per sbaglio” via reverse proxy/NAT dimenticati). Se non sai cosa è esposto, non stai gestendo: stai sperando.
2. Patch, mitigazioni e hardening su SharePoint/IIS secondo indicazioni vendor e CSIRT. La parte importante è la sequenza: isolare dove serve, verificare compromissione, poi aggiornare. CERT-EU lo dice chiaramente.
3. Hunting mirato:

• richieste sospette verso endpoint SharePoint associati alla catena ToolShell (log IIS/WAF)
• tracce di webshell e modifiche “creative” su server web
• segnali di credential dumping e movimenti laterali (SMB/RDP) coerenti con la kill chain descritta
• telemetria su Graph API e anomalie su mailbox (bozze con pattern inusuali, refresh token sospetti, accessi/app non attese) perché FinalDraft ci gioca lì

4. Incident readiness: se scopri che un tuo server è stato usato come relay, la bonifica “solo locale” rischia di essere un cerotto su una diga. È esattamente il motivo per cui Check Point insiste sul concetto di relay chain e sulla difficoltà di “eviction” completa.

Indicatori

Di seguito alcuni hash (come da export entità) utili per pivot iniziali in TI/SIEM/EDR. Non sono “la soluzione”, ma aiutano a non partire bendati.
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In conclusione

Questa storia non parla di “hacker super-geniali”. Parla di organizzazioni che nel 2025-2026 hanno ancora server web critici esposti, patching non governato e controlli di detection che si fermano al perimetro. E Ink Dragon, con ShadowPad e FinalDraft, ti dimostra che il perimetro non è più un confine: è un punto d’ingresso, e spesso pure un punto di transito per colpire qualcun altro.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore