Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
English Spanish
Cerca
Banner Desktop
TM RedHotCyber 320x100 042514

Tag: backdoor

Microsoft blocca Vanilla Tempest: Falsi installer di Teams diffondevano ransomware Rhysida

Redazione RHC 17/10/2025

All’inizio di ottobre 2025, Microsoft ha interrotto un’ampia operazione malevola attribuita al gruppo Vanilla Tempest, revocando più di 200 certificati digitali utilizzati per firmare in modo fraudolento file di installazione di Microsoft Teams. Questi pacchetti falsi servivano come vettore per diffondere la backdoor Oyster e, successivamente, il ransomware Rhysida. La scoperta e le contromisure La campagna è stata individuata a fine settembre 2025, dopo mesi di attività in cui l’attore della minaccia aveva sfruttato file binari apparentemente legittimi. In risposta, Microsoft Defender Antivirus ha aggiornato le proprie firme per riconoscere e bloccare sia i falsi installer di Teams sia i malware coinvolti,

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows

Antonio Piazzolla 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stiamo parlando del solito script improvvisato; dietro SoopSocks c’è una catena di azioni pensata per ottenere persistenza, ridurre il rumore e stabilire un canale di comando/controllo stabile. Il pacchetto è stato pubblicato su PyPI (Python Package Index), il registro ufficiale dei pacchetti Python. Il pacchetto ingannevole, denominato “soopsocks“, ha totalizzato 2.653 download  prima di essere rimosso. È stato caricato per la prima volta da un utente di nome “soodalpie” il 26 settembre 2025,

Falle critiche nei robot cinesi. Una bonet di robot zombie può essere controllata a distanza

Redazione RHC 28/09/2025

Dato che si inizia a parlare incessantemente di robot umanoidi e intelligenza artificiale, gli hacker hanno voluto dare una guardatina a questa nuova tecnologia che sempre di più invaderà lo spazio del nostro futuro. E non è andata bene. Il 27 settembre 2025 sono emerse nuove preoccupazioni riguardo ai robot prodotti dalla cinese Unitree Robotics, dopo la segnalazione di serie vulnerabilità che potrebbero esporre migliaia di dispositivi a rischi di controllo remoto e utilizzo malevolo. Secondo quanto riportato da IEEE Spectrum giovedì 25 settembre, i ricercatori hanno individuato una falla critica nel sistema Bluetooth Low Energy (BLE) utilizzato dai robot dell’azienda per

Mustang Panda, nuovo attacco informatico con SnakeDisk: obiettivo la Thailandia

Redazione RHC 15/09/2025

I ricercatori di IBM X-Force hanno scoperto nuove operazioni del gruppo cinese Hive0154, meglio noto come Mustang Panda. Gli esperti hanno documentato l’uso simultaneo di una versione avanzata della backdoor Toneshell e di un nuovo worm USB chiamato SnakeDisk, che prende di mira specificamente i dispositivi in Thailandia. Questo approccio dimostra uno sforzo mirato per penetrare anche nelle reti governative isolate della regione. La nuova versione del malware, denominata Toneshell9, rappresenta un notevole passo avanti rispetto alle versioni precedenti, grazie a meccanismi integrati per operare attraverso server proxy aziendali, consentendo al traffico dannoso di mascherarsi da connessioni di rete legittime. L’arsenale di

La backdoor ChillyHell torna a minacciare i sistemi macOS

Redazione RHC 15/09/2025

I ricercatori hanno segnalato una nuova impennata di attività per ChillyHell , una backdoor modulare per macOS che si pensava fosse dormiente da anni, ma che sembra aver infettato i computer senza essere rilevata per anni. Un campione del malware è stato scoperto nel maggio 2025 su VirusTotal, sebbene tracce della sua attività risalgano almeno al 2021. ChillyHell è scritto in C++ e prende di mira le architetture Intel. È stato studiato per la prima volta dai membri del team Mandiant nel 2023, quando hanno collegato la backdoor al gruppo UNC4487. Il team ha hackerato un sito web ucraino di assicurazioni per

GhostRedirector: la campagna di redirect black SEO che manipola i motori di ricerca

Redazione RHC 05/09/2025

Un gruppo di criminali informatici, che i ricercatori di ESET hanno soprannominato GhostRedirector e collegato all’ecosistema cinese, ha silenziosamente implementato uno schema di manipolazione dei motori di ricerca globali basato su host Windows hackerati. Secondo la telemetria e le scansioni Internet di giugno, almeno 65 server in diversi paesi sono stati compromessi. Le prime infezioni confermate sono state registrate da dicembre, ma una serie di campioni correlati indica attività almeno da agosto 2024, quindi non si tratta di un’epidemia, ma di una campagna a lungo termine con ruoli e infrastrutture consolidati. Al centro ci sono due componenti appositamente scritti. Rungan è una

Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28

Redazione RHC 04/09/2025

Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistema backdoor, recentemente scoperto e di ultima generazione, si concentra su Microsoft Outlook, dando la possibilità agli artefici dell’attacco di impossessarsi di informazioni e gestire il computer della persona colpita. La backdoor è progettata per monitorare le email in arrivo della vittima alla ricerca di specifiche parole chiave, come “Report giornaliero”. Quando viene rilevata un’email contenente la parola chiave, il malware si attiva, consentendo agli aggressori di eseguire comandi dannosi. Il nome “NotDoor”

Vuoi un Editor PDF gratuito? Hai scaricato un malware incluso nel pacchetto premium

Redazione RHC 30/08/2025

Una campagna malware complessa è stata scoperta, mirata a utenti alla ricerca di programmi gratuiti per modificare PDF. Un’applicazione dannosa, travestita da “AppSuite PDF Editor” legittimo, viene diffusa da criminali informatici. Gli autori della minaccia dietro questa campagna hanno dimostrato un’audacia senza precedenti inviando il loro malware alle aziende antivirus come falsi positivi, nel tentativo di far rimuovere i rilevamenti di sicurezza. Il programma di installazione, creato utilizzando il set di strumenti open source WiX, scarica immediatamente il programma effettivo dell’editor PDF da vault.appsuites.ai dopo l’esecuzione e l’accettazione del Contratto di licenza con l’utente finale. Il malware, è confezionato come file Microsoft

Un nome di un file può compromettere un sistema Linux? Gli hacker cinesi dicono di sì

Redazione RHC 24/08/2025

I ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno dell’archivio stesso. La campagna inizia con un invio di massa di email progettate come invito a partecipare a un sondaggio sui cosmetici con la promessa di un bonus in denaro. La particolarità di questo attacco è che il codice dannoso è incorporato direttamente nel nome del file, non nel suo contenuto. Quando si tenta di elaborare un nome del genere con script non sicuri, vengono iniettati dei comandi. Il trucco funziona grazie

Backdoor in xz Utils: 35 immagini Docker Hub ancora infette

Redazione RHC 14/08/2025

Gli analisti di Binarly hanno trovato almeno 35 immagini su Docker Hub ancora infette da una backdoor che ha penetrato xz Utils l’anno scorso. I ricercatori hanno avvertito che questo potrebbe potenzialmente mettere a rischio utenti, organizzazioni e i loro dati. Binarly spiega che molte pipeline CI/CD, sviluppatori e sistemi di produzione estraggono le immagini direttamente da Docker Hub, utilizzandole come base per i propri container. Se queste immagini vengono compromesse, ogni nuova build erediterà la vulnerabilità o il codice dannoso. Ricordiamo che una backdoor nel popolare pacchetto xz Utils fu scoperta accidentalmente nel 2024 e l’incidente ricevette molta attenzione. Di conseguenza,

Categorie