Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
L'immagine presenta il logo di Microsoft Teams in primo piano, caratterizzato da due figure stilizzate color lavanda e una "T" bianca racchiusa in un quadrato viola. Il logo sembra fluttuare al centro di un tunnel dinamico composto da linee di luce radiali che convergono verso il centro, creando un marcato effetto di velocità e profondità. La palette cromatica dello sfondo sfuma elegantemente da tonalità turchese e blu sul lato sinistro a sfumature viola e porpora sul lato destro. L'estetica complessiva suggerisce innovazione tecnologica, connettività rapida e un senso di proiezione verso il futuro digitale.

“Sono del reparto IT”: la chiamata su Teams che nasconde la backdoor

10 Marzo 2026 07:16

Certe intrusioni iniziano in modo banale.

Una valanga di email inutili, decine… centinaia. Il tipo di caos che ti fa pensare a un semplice spam fuori controllo.

Poi arriva il messaggio su Teams.

Advertising

Qualcuno che si presenta come supporto IT e dice di voler aiutare a risolvere il problema.

A quel punto molti abbassano la guardia. Perchè? Abitudine e confidenza.

L’inganno parte da email e assistenza remota

Il meccanismo osservato dai ricercatori è abbastanza subdolo ma che già abbiamo incontrato altre volte. Prima viene l'”email bombing”: la casella della vittima viene sommersa da messaggi indesiderati. Una tempesta di notifiche che rende difficile capire cosa stia davvero succedendo.

Subito dopo qualcuno contatta l’utente su Microsoft Teams fingendosi personale tecnico. Dice di aver notato attività anomala e propone assistenza.

Sembra plausibile in effetti e molte persone che in questa fase accettano.

Advertising

A quel punto arriva la richiesta: aprire Quick Assist, lo strumento di supporto remoto integrato in Windows. Basta concedere l’accesso e il gioco è fatto.

Software travestito da componenti Microsoft

Una volta dentro il dispositivo, gli attaccanti provano a mantenere il controllo installando il proprio software. In alcune indagini, gli strumenti utilizzati erano distribuiti tramite pacchetti MSI firmati digitalmente.

Alcuni di questi pacchetti risultavano ospitati su storage cloud Microsoft collegati a account personali, distribuiti tramite link con token. Non proprio semplice da recuperare a posteriori durante un’indagine.

Dentro i pacchetti, gli analisti hanno trovato programmi camuffati da componenti Microsoft come Microsoft Teams o CrossDeviceService. I file venivano installati in directory locali che imitano quelle usate normalmente da software legittimi.

Il loader nascosto e la nuova A0Backdoor

Uno degli elementi più curiosi riguarda una DLL chiamata hostfxr.dll.

Normalmente questo file è un componente .NET firmato da Microsoft. Qui invece compare una versione modificata firmata con un certificato differente.

Il suo compito?

Semplice: decrittare un payload nascosto nella sezione dati del file e caricarlo in memoria per l’esecuzione. Durante l’analisi, i ricercatori hanno notato anche numerose chiamate alla funzione CreateThread, probabilmente pensate per rendere più complicato il lavoro dei debugger.

Il codice decrittato porta poi a una backdoor che i ricercatori hanno chiamato A0Backdoor.

Questo malware utilizza tecniche di cifratura runtime per nascondere la propria logica interna. Inoltre crea un mutex per evitare l’esecuzione simultanea di più istanze e utilizza informazioni di sistema per identificare il dispositivo compromesso.

Per comunicare con l’infrastruttura degli attaccanti, la backdoor sfrutta una forma di tunneling DNS basata su record MX. In pratica il traffico sembra diretto verso resolver pubblici, mentre i comandi vengono codificati nei nomi di dominio.

La ricerca completa è stata pubblicata da BlueVoyant, che collega questa attività a un cluster noto come Blitz Brigantine, già associato a campagne di ingegneria sociale simili.

Per la community di Red Hot Cyber la vicenda ricorda una cosa che molto spesso si tende a dimenticare: l’anello più fragile resta sempre l’interazione umana. Gli attaccanti non hanno dovuto sfruttare una vulnerabilità complessa. E’ solo bastato convincere qualcuno a concedere l’accesso remoto.

Ed è proprio qui che formazione, procedure e cultura di sicurezza fanno davvero la differenza.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


1744358477148 300x300
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research