Negli ultimi mesi, un gruppo hacker noto come Stan Ghouls ha catturato l’attenzione degli esperti di sicurezza. Non stiamo parlando di attacchi casuali, ma di campagne mirate che prendono di mira organizzazioni specifiche in paesi come Uzbekistan e Russia. L’interesse principale della gang?
Settori finanziari, industriali e IT, insomma dove c’è denaro e dati sensibili.
La particolarità di questi attacchi è il metodo scelto: gli hacker usano software legittimo come NetSupport per controllare da remoto i sistemi compromessi. Non è il solito malware strano da laboratorio, ma un programma che normalmente serve per amministrare computer a distanza. Questo trucco rende tutto più difficile da rilevare e soprattutto evita di dover sviluppare strumenti propri, complicati da gestire.
Advertising
Evoluzione della minaccia
Stan Ghouls non è nuova nel campo: la sua attività in Eurasia è documentata almeno dal 2023. In precedenza, il gruppo utilizzava un RAT commerciale chiamato STRRAT o Strigoi Master. Ma dal 2025 la scelta è caduta su NetSupport, accompagnato da un caricatore Java unico, una specie di firma digitale del gruppo. Curioso, perché oggi Java è raro nel malware moderno.
Il team dietro la gang gestisce una rete di oltre 35 domini attivi per le varie campagne. Non cambia molto negli strumenti, ma il loro infrastruttura è in costante rotazione. Il caricatore Java serve per distribuire il NetSupport RAT e si inserisce nel sistema della vittima tramite tre vie: cartella di avvio, registro di Windows e pianificatore attività.
Il vettore principale resta il phishing mirato. Le email sono scritte nelle lingue locali, uzbeko o kirghizo, e si spacciano per documenti ufficiali di tribunali o procure. All’interno c’è un PDF con link per scaricare un file JAR, che avvia il caricatore malevolo. L’utente vede un messaggio falso di errore, ignora tutto, ma il malware lavora silenzioso scaricando e installando NetSupport RAT.
Una volta dentro, gli hacker hanno pieno controllo del computer. Non è difficile capire che lo scopo principale sembra finanziario, anche se non si esclude il cyber-spionaggio. Su alcuni domini del gruppo sono stati trovati file di Mirai, noto malware per dispositivi IoT, ma non è chiaro se lo usino direttamente o affittino la loro infrastruttura.
Secondo le stime, circa 50 organizzazioni in Uzbekistan e 10 in Russia sono state colpite, con casi sporadici in Kazakistan, Turchia, Serbia e Bielorussia. L’esperto Aleksey Shulmin osserva che il gruppo dispone delle risorse per gestire manualmente decine di macchine infette, aggiornando principalmente i domini senza modificare gli strumenti principali.
Advertising
Per chi lavora in sicurezza informatica, il messaggio è chiaro: le campagne mirate evolvono, ma spesso si affidano a software apparentemente innocuo. Capire le dinamiche dietro questi attacchi può fare la differenza tra rimanere esposti o proteggersi efficacemente.
Per la community di Red Hot Cyber, vale sempre la pena ricordare che il phishing sofisticato e l’uso di strumenti legittimi mascherati richiedono non solo protezioni tecniche, ma anche formazione continua e attenzione ai dettagli più piccoli, perché ogni email sospetta può nascondere una minaccia reale.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.