Spionaggio cyber: hacker pro-Turchia sfruttano zero-day contro l’esercito curdo

Microsoft ha segnalato che un autore di minacce affiliato alla Turchia è stato osservato mentre sfruttava una vulnerabilità zero-day in Output Messenger contro entità associate all’esercito curdo in Iraq. Il gruppo di hacker, identificato come Marbled Dust, Sea Turtle e UNC1326 e noto per la sua attività di spionaggio, in genere prende di mira entità in Europa e Medio Oriente, tra cui organizzazioni governative, di tecnologia informatica e di telecomunicazioni, nonché altre entità di interesse per il governo turco.

In precedenza, Marbled Dust era stato visto mentre analizzava risorse connesse a Internet alla ricerca di vulnerabilità note da sfruttare per l’accesso iniziale, oltre a compromettere registri DNS e/o registrar per spiare organizzazioni governative e rubare le loro credenziali. “Questo nuovo attacco segnala un notevole cambiamento nelle capacità di Marbled Dust, pur mantenendo la coerenza del suo approccio generale. L’utilizzo riuscito di un exploit zero-day suggerisce un aumento della sofisticazione tecnica e potrebbe anche indicare che le priorità di attacco di Marbled Dust siano aumentate o che i suoi obiettivi operativi siano diventati più urgenti”, osserva Microsoft .

Da aprile 2024, l’autore della minaccia ha utilizzato exploit per il CVE-2025-27920, una vulnerabilità nell’app di comunicazione aziendale Output Messenger. La falla è stata risolta a dicembre 2024, ma un identificatore CVE è stato rilasciato solo questo mese. Il problema è descritto come un difetto di directory traversal che potrebbe consentire agli aggressori di accedere a file sensibili e di rivelare informazioni private, nonché di eseguire codice arbitrario in remoto.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“Una vulnerabilità di directory traversal è stata identificata nella versione V2.0.62 di Output Messenger. Questa vulnerabilità consente ad aggressori remoti di accedere o eseguire file arbitrari manipolando i percorsi dei file con sequenze `../`. Sfruttando questa falla, gli aggressori possono navigare al di fuori della directory desiderata, esponendo o modificando potenzialmente file sensibili sul server”, afferma Srimax, l’azienda indiana che sviluppa l’applicazione di messaggistica, in un avviso .

Secondo Microsoft, la falla di sicurezza consente ad aggressori autenticati di caricare file arbitrari nella directory di avvio del server. Utilizzando credenziali compromesse, probabilmente ottenute tramite DNS hijacking o typo-squatting, Marbled Dust ha sfruttato la vulnerabilità CVE-2025-27920 per installare backdoor sui dispositivi delle vittime. Le backdoor hanno permesso agli aggressori di eseguire comandi arbitrari sui sistemi compromessi, con l’obiettivo finale di raccogliere informazioni preziose.

“Microsoft Threat Intelligence valuta con elevato grado di sicurezza che gli obiettivi dell’attacco sono associati all’esercito curdo operativo in Iraq, in linea con le priorità di attacco di Marbled Dust precedentemente osservate”, spiega Microsoft. La vulnerabilità CVE-2025-27920, insieme a una seconda vulnerabilità, identificata come CVE-2025-27921 non è stata ancora sfruttata, ma è stata corretta nella versione 2.0.63 di Output Messenger. Si consiglia agli utenti di aggiornare le proprie applicazioni il prima possibile.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.