L’evoluzione delle minacce informatiche e delle tecnologie avanzate comporta continui aggiornamenti in ambito sicurezza. Tra le problematiche emerse recentemente, la campagna di malware CRON#TRAP utilizza ambienti Linux emulati per attacchi nascosti, mentre Microsoft segnala difficoltà di performance su Windows Server 2025 nei dispositivi con un elevato numero di core logici. Questi casi evidenziano sfide significative sia per la protezione dei sistemi sia per la loro stabilità operativa.
CRON#TRAP: attacchi stealth tramite ambienti Linux emulati
Il malware CRON#TRAP rappresenta una nuova modalità di attacco, sfruttando ambienti Linux emulati per operare in modo nascosto su sistemi Windows. Individuato dal team di ricerca Securonix, questo attacco viene lanciato tramite un messaggio phishing contenente un file ZIP dal nome “OneAmerica Survey.zip”. Una volta aperto, questo file attiva un ambiente Linux minimizzato attraverso l’emulatore QEMU, un software legittimo solitamente utilizzato in ambito di sviluppo. All’interno di questo ambiente virtuale, CRON#TRAP utilizza una backdoor chiamata “crondx” per stabilire una connessione persistente con un server di comando e controllo (C2) controllato dagli attaccanti. Grazie a questa configurazione, l’attacco elude facilmente gli antivirus tradizionali, permettendo agli aggressori di mantenere una presenza stabile sui sistemi colpiti.
Gli aggressori impiegano tecniche avanzate per installare il malware e consolidare la loro posizione. Per esempio, utilizzano chiavi SSH per accedere al sistema remoto senza bisogno di password, configurano script di avvio per rendere il malware persistente, e creano alias come “get-host-shell” che consente loro di interagire con il sistema host. Il software crondx, basato sul tool Chisel, agisce come canale di comunicazione segreta tra l’ambiente emulato e il server C2, bypassando firewall e rendendo difficile l’individuazione del traffico dannoso.
Il modus operandi sofisticato e l’uso di strumenti legittimi come QEMU e Chisel dimostrano un alto livello di preparazione da parte degli attaccanti, che riescono a nascondere le loro attività all’interno di un ambiente emulato. Gli specialisti di sicurezza consigliano di monitorare attentamente le directory di staging e gli script avviati da percorsi non comuni, per individuare eventuali anomalie riconducibili a CRON#TRAP.
Problemi di performance su Windows Server 2025
Microsoft ha recentemente segnalato problematiche significative di performance su Windows Server 2025, specialmente su server con un numero elevato di core logici, ossia con configurazioni di 256 o più core. Questi server potrebbero riscontrare malfunzionamenti nel corso dei processi di installazione e aggiornamento, con possibili blocchi, rallentamenti estesi nel riavvio, o persino schermate blu. Tali problematiche compromettono la capacità operativa dei server ad alta potenza, riducendo l’efficacia e la stabilità dell’ultima versione del sistema operativo server di Microsoft, rilasciata tramite il Long-Term Servicing Channel (LTSC).
Il problema si presenta in modo irregolare: alcuni server si avviano e funzionano senza difficoltà, mentre altri mostrano sintomi gravi che richiedono interventi manuali. Microsoft ha suggerito una soluzione temporanea, che consiste nel limitare il numero di core logici a 256 per ridurre il rischio di blocchi. Tuttavia, questa soluzione implica modifiche alle impostazioni del firmware tramite UEFI, il che potrebbe risultare complesso per i team IT che gestiscono server su larga scala. La società ha assicurato che sta lavorando per risolvere definitivamente il problema tramite un futuro aggiornamento, per garantire che Windows Server 2025 possa sfruttare pienamente le potenzialità dei dispositivi ad alte prestazioni.
Le implicazioni di queste problematiche sono particolarmente rilevanti per le aziende che utilizzano Windows Server 2025 per applicazioni mission-critical e per ambienti con elevata necessità di potenza computazionale. Il compromesso tra stabilità e performance impone valutazioni accurate per pianificare aggiornamenti e configurazioni, e Microsoft raccomanda di verificare periodicamente le specifiche hardware dei server per evitare sovraccarichi.
L’emergere della campagna di malware CRON#TRAP e le problematiche su Windows Server 2025 evidenziano come le sfide di sicurezza e affidabilità siano cruciali per l’IT moderno. Entrambi i casi mostrano vulnerabilità che, se non adeguatamente gestite, possono compromettere la sicurezza e la stabilità operativa delle infrastrutture aziendali. La necessità di monitorare strumenti legittimi come QEMU e di limitare l’uso di core logici sui server sottolinea l’importanza di un approccio proattivo alla sicurezza e alla gestione dei sistemi critici.
