Redazione RHC : 6 Agosto 2025 07:14
L’infrastruttura ShadowSyndicate, nota anche come Infra Storm, è finita sotto i riflettori dei ricercatori di sicurezza dopo che questi ultimi hanno identificato significative sovrapposizioni con alcuni dei più grandi programmi ransomware. Attivo da metà 2022, il gruppo è associato a marchi come AlphaV/BlackCat, LockBit, Royal, Play, Cl0p, Cactus e RansomHub. A differenza dei tradizionali broker di primo accesso (IaB), opera più come partecipante ai RaaS di alto livello , fornendo servizi o infrastrutture a vari partner criminali.
Secondo Intrinsec, le connessioni di ShadowSyndicate vanno ben oltre il tipico panorama della criminalità informatica, con tattiche e strumenti presenti nel loro arsenale che riecheggiano gli approcci di gruppi come TrickBot, Ryuk/Conti, FIN7 e TrueBot, tutti noti per le loro sofisticate tecniche di infiltrazione, la capacità di eludere il rilevamento e l’uso di una varietà di exploit.
Il punto di partenza dell’indagine è stato costituito da due indirizzi IP che utilizzavano la stessa impronta digitale SSH. Utilizzando Shodan e Fofa, lo studio è stato esteso a 138 server accomunati da caratteristiche simili. Le intersezioni identificate includono la partecipazione a un attacco che sfruttava la vulnerabilità Citrix Bleed (CVE-2023-4966), in cui sono stati sfruttati i server da LockBit e ThreeAM.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Sono state trovate corrispondenze anche con l’infrastruttura utilizzata negli attacchi MOVEit e ScreenConnect, con quest’ultimo exploit che prende di mira due vulnerabilità contemporaneamente: CVE-2024-1708 e CVE-2024-1709. I singoli server di ShadowSyndicate corrispondono a host precedentemente associati a UAC-0056 (noto anche come Cadet Blizzard) e Cl0p.
Il quadro tecnico complessivo ha inoltre rivelato collegamenti con altri gruppi che collaborano con i programmi Black Basta e Bl00dy, nonché attività sospette legate a Cicada3301, un possibile rebranding di BlackCat. Anche gli infostealer AMOS e Poseidon, distribuiti tramite falsi annunci Google e esche di phishing LLM, dimostrano un collegamento con questa infrastruttura.
Anche la configurazione tecnica della rete è di interesse. Lo studio evidenzia la presenza di un hosting a prova di bomba ( BPH ), camuffato da servizi VPN, VPS e proxy legittimi, ma che in realtà fornisce una piattaforma solida per operazioni informatiche criminali. Vengono menzionati i sistemi autonomi AS209588 (Flyservers), AS209132 (Alviva Holding) e l’ampia struttura AS-Tamatiya, che unisce 22 ASN. L’hosting opera sotto la copertura di giurisdizioni offshore, tra cui Panama, Seychelles e Isole Vergini.
Mentre il rapporto Intrinsec valuta i collegamenti confermati con attori statali con un livello di sicurezza moderato, i riferimenti a figure di alto livello e alle operazioni ibride di manipolazione delle informazioni indicano un ruolo molto più ampio per questa infrastruttura.
Lo studio menziona quindi intersezioni con DecoyDog (una variante di PupyRAT tramite tunneling DNS), nonché l’uso dei downloader dannosi Amadey e Nitol. A maggio 2025, la rete è rimasta attiva, continuando a scansionare le vulnerabilità e a distribuire componenti dannosi.
Nel complesso, questi risultati delineano il quadro di un ecosistema altamente tecnologico, resiliente e multistrato che supporta non solo i tradizionali schemi di estorsione, ma è anche strettamente legato ad attori che operano a livello di interessi nazionali.
ShadowSyndicate dimostra non solo un approccio commerciale, ma una struttura in grado di coordinare le azioni con diversi segmenti di minacce informatiche, dagli infostealer e botnet alle complesse catene di attacco che utilizzano vulnerabilità zero e loader speciali.
RedazioneE’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...
Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...
Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...
Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...
Un avviso di sicurezza di vasta portata è stato pubblicato da Google per i 2,5 miliardi di utenti del suo servizio Gmail, con l’obiettivo di rafforzare la protezione dei loro account a seguito di u...
