ShadowSyndicate: l’infrastruttura MaaS dietro ai maggiori attacchi ransomware

L’infrastruttura ShadowSyndicate, nota anche come Infra Storm, è finita sotto i riflettori dei ricercatori di sicurezza dopo che questi ultimi hanno identificato significative sovrapposizioni con alcuni dei più grandi programmi ransomware. Attivo da metà 2022, il gruppo è associato a marchi come AlphaV/BlackCat, LockBit, Royal, Play, Cl0p, Cactus e RansomHub. A differenza dei tradizionali broker di primo accesso (IaB), opera più come partecipante ai RaaS di alto livello , fornendo servizi o infrastrutture a vari partner criminali.

Secondo Intrinsec, le connessioni di ShadowSyndicate vanno ben oltre il tipico panorama della criminalità informatica, con tattiche e strumenti presenti nel loro arsenale che riecheggiano gli approcci di gruppi come TrickBot, Ryuk/Conti, FIN7 e TrueBot, tutti noti per le loro sofisticate tecniche di infiltrazione, la capacità di eludere il rilevamento e l’uso di una varietà di exploit.

Il punto di partenza dell’indagine è stato costituito da due indirizzi IP che utilizzavano la stessa impronta digitale SSH. Utilizzando Shodan e Fofa, lo studio è stato esteso a 138 server accomunati da caratteristiche simili. Le intersezioni identificate includono la partecipazione a un attacco che sfruttava la vulnerabilità Citrix Bleed (CVE-2023-4966), in cui sono stati sfruttati i server da LockBit e ThreeAM.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Sono state trovate corrispondenze anche con l’infrastruttura utilizzata negli attacchi MOVEit e ScreenConnect, con quest’ultimo exploit che prende di mira due vulnerabilità contemporaneamente: CVE-2024-1708 e CVE-2024-1709. I singoli server di ShadowSyndicate corrispondono a host precedentemente associati a UAC-0056 (noto anche come Cadet Blizzard) e Cl0p.

Il quadro tecnico complessivo ha inoltre rivelato collegamenti con altri gruppi che collaborano con i programmi Black Basta e Bl00dy, nonché attività sospette legate a Cicada3301, un possibile rebranding di BlackCat. Anche gli infostealer AMOS e Poseidon, distribuiti tramite falsi annunci Google e esche di phishing LLM, dimostrano un collegamento con questa infrastruttura.

Anche la configurazione tecnica della rete è di interesse. Lo studio evidenzia la presenza di un hosting a prova di bomba ( BPH ), camuffato da servizi VPN, VPS e proxy legittimi, ma che in realtà fornisce una piattaforma solida per operazioni informatiche criminali. Vengono menzionati i sistemi autonomi AS209588 (Flyservers), AS209132 (Alviva Holding) e l’ampia struttura AS-Tamatiya, che unisce 22 ASN. L’hosting opera sotto la copertura di giurisdizioni offshore, tra cui Panama, Seychelles e Isole Vergini.

Mentre il rapporto Intrinsec valuta i collegamenti confermati con attori statali con un livello di sicurezza moderato, i riferimenti a figure di alto livello e alle operazioni ibride di manipolazione delle informazioni indicano un ruolo molto più ampio per questa infrastruttura.

Lo studio menziona quindi intersezioni con DecoyDog (una variante di PupyRAT tramite tunneling DNS), nonché l’uso dei downloader dannosi Amadey e Nitol. A maggio 2025, la rete è rimasta attiva, continuando a scansionare le vulnerabilità e a distribuire componenti dannosi.

Nel complesso, questi risultati delineano il quadro di un ecosistema altamente tecnologico, resiliente e multistrato che supporta non solo i tradizionali schemi di estorsione, ma è anche strettamente legato ad attori che operano a livello di interessi nazionali.

ShadowSyndicate dimostra non solo un approccio commerciale, ma una struttura in grado di coordinare le azioni con diversi segmenti di minacce informatiche, dagli infostealer e botnet alle complesse catene di attacco che utilizzano vulnerabilità zero e loader speciali.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.