Ink Dragon alza l’asticella in Europa: ShadowPad su IIS, FinalDraft su Graph API

Questa notizia ci arriva dal feed News & Research di Recorded Future (Insikt Group): Check Point Research ha documentato una nuova ondata di attività attribuita al threat actor China-linked Ink Dragon, con un’espansione più marcata verso reti governative europee (non più “solo” Sud-Est asiatico e Sud America).

Ed è qui che il punto diventa scomodo: quando nel mirino ci sono i “government targets in Europe”, l’Italia non è un’eccezione folkloristica. È un target naturale: PA centrale e locale, difesa/fornitori, telco e tutto quell’indotto che vive di intranet, portali, documentali e “SharePoint che tanto è interno”. Spoiler: spesso non lo è.

Cosa sta facendo Ink Dragon (e perché è più fastidioso del solito)

Check Point descrive una catena operativa molto “pulita” e ripetibile: ingresso da web server esposti (IIS/SharePoint), movimento laterale, raccolta credenziali, escalation e poi due mosse chiave:

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

1) Trasformare le vittime in infrastruttura (relay network)
Ink Dragon usa un modulo ShadowPad su IIS (“ShadowPad IIS Listener”) per convertire server compromessi in nodi di una rete di relay: ogni nuovo server bucato diventa un “hop” che inoltra traffico e comandi, rendendo più difficile capire origine e direzione del C2. In pratica, un ente compromesso può diventare il ponte per operazioni contro altri enti.

2) Stabilizzare la persistenza con FinalDraft e C2 “cloud-native”
La variante osservata di FinalDraft porta la mimetizzazione a un livello superiore: abusa Microsoft Graph API per scambiare comandi e output dentro bozze di email (mailbox drafts). Tradotto: a livello rete puoi vedere traffico che assomiglia a normalissima attività Microsoft 365/Graph e quindi passa in mezzo a whitelist, proxy “permissivi” e controlli superficiali.

L’ingresso: IIS misconfigurati, machineKey e la scia di ToolShell

Qui arriva la parte “triste ma vera”: Ink Dragon continua a monetizzare (in chiave spionaggio) errori noti da anni: ASP.NET machineKey prevedibili o mal gestite e attacchi di ViewState deserialization su IIS/SharePoint.

Quando invece si parla di ToolShell su SharePoint on-prem, la musica la conosciamo già dal 2025: sfruttamento in the wild, PoC pubblici, scanning di massa e catena che porta a webshell/estrazione chiavi/possibile RCE. In Italia, diversi bollettini CSIRT regionali hanno riportato i dettagli operativi dell’abuso dell’endpoint ToolPane e del ruolo di __VIEWSTATE nella catena.

Per dare un riferimento “istituzionale” anche fuori dai confini: CERT-EU ha riassunto l’impatto delle vulnerabilità SharePoint on-prem (con sfruttamento attivo) e la necessità di isolamento/verifiche prima e durante la remediation. E su NVD trovi descrizione e contesto di CVE-2025-53770 (deserializzazione non attendibile, RCE su SharePoint on-prem, exploit noto “in the wild”).

“Ok, ma l’Italia?”

Se sei un CISO/IT manager italiano e pensi “noi non siamo un ministero”, ti propongo una visione meno romantica e più realistica:

In Italia abbiamo un’alta densità di organizzazioni che usano ancora SharePoint on-prem e IIS per portali, workflow e documentali, spesso esposti “per comodità” (partner, fornitori, smart working, integrazioni). Quando un attore come Ink Dragon entra da lì, non sta cercando il tuo listino prezzi: sta cercando credibilità di rete, relazioni, caselle email, documenti e accessi. E se ti trasforma in relay node, non sei solo vittima: diventi (inconsapevolmente) pezzo dell’infrastruttura di una campagna di spionaggio.

C’è un secondo punto, ancora più “italiano”: la supply chain. Anche quando il bersaglio finale è un ente governativo, gli appaltatori e i fornitori (ICT, consulenza, service provider, facility con accessi) sono spesso la scorciatoia. E noi, di scorciatoie, ne abbiamo inventate parecchie.

Nota laterale: quando nello stesso ambiente entrano in due

Check Point segnala anche un elemento interessante: in alcune delle stesse reti governative europee sarebbe stata osservata attività anche di RudePanda, non correlata operativamente a Ink Dragon ma presente in parallelo, sfruttando la stessa debolezza esposta. È il promemoria più brutale del 2025-2026: una porta aperta non attira “un” attaccante. Attira una fila.

Cosa fare adesso

Non ti lascio la “lista della spesa” infinita. Però alcune priorità sono non negoziabili:

1. Censimento immediato di SharePoint on-prem e IIS esposti (e dei pubblicati “per sbaglio” via reverse proxy/NAT dimenticati). Se non sai cosa è esposto, non stai gestendo: stai sperando.
2. Patch, mitigazioni e hardening su SharePoint/IIS secondo indicazioni vendor e CSIRT. La parte importante è la sequenza: isolare dove serve, verificare compromissione, poi aggiornare. CERT-EU lo dice chiaramente.
3. Hunting mirato:

• richieste sospette verso endpoint SharePoint associati alla catena ToolShell (log IIS/WAF)
• tracce di webshell e modifiche “creative” su server web
• segnali di credential dumping e movimenti laterali (SMB/RDP) coerenti con la kill chain descritta
• telemetria su Graph API e anomalie su mailbox (bozze con pattern inusuali, refresh token sospetti, accessi/app non attese) perché FinalDraft ci gioca lì

4. Incident readiness: se scopri che un tuo server è stato usato come relay, la bonifica “solo locale” rischia di essere un cerotto su una diga. È esattamente il motivo per cui Check Point insiste sul concetto di relay chain e sulla difficoltà di “eviction” completa.

Indicatori

Di seguito alcuni hash (come da export entità) utili per pivot iniziali in TI/SIEM/EDR. Non sono “la soluzione”, ma aiutano a non partire bendati.
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In conclusione

Questa storia non parla di “hacker super-geniali”. Parla di organizzazioni che nel 2025-2026 hanno ancora server web critici esposti, patching non governato e controlli di detection che si fermano al perimetro. E Ink Dragon, con ShadowPad e FinalDraft, ti dimostra che il perimetro non è più un confine: è un punto d’ingresso, e spesso pure un punto di transito per colpire qualcun altro.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore