Sommario
Una campagna di ricognizione su larga scala è stata rilevata l’8 maggio 2025 da GreyNoise, attraverso 251 indirizzi IP malevoli ospitati su Amazon AWS e geolocalizzati in Giappone. L’azione ha attivato 75 comportamenti distinti nel giro di 24 ore, suggerendo un’iniziativa offensiva estremamente strutturata. Tutti gli indirizzi coinvolti sono rimasti inattivi prima e dopo l’evento, confermando l’ipotesi di un’infrastruttura temporanea affittata ad hoc per eseguire un’azione precisa e di breve durata.
Infrastruttura effimera per una ricognizione ad ampio spettro
L’operazione è stata caratterizzata da un approccio centralizzato e non casuale. Gli indirizzi IP, pur geograficamente concentrati, hanno condotto attacchi diversificati su un ampio ventaglio di vulnerabilità note, tra cui CVE-2018-15961 su Adobe ColdFusion, CVE-2017-5638 su Apache Struts, CVE-2015-1427 su Elasticsearch, CVE-2022-26134 su Atlassian Confluence e CVE-2014-6271 (nota come Shellshock). Queste falle, sebbene pubbliche da anni, restano appetibili per attori opportunistici grazie alla persistenza di sistemi non aggiornati.
Ampiezza dei comportamenti e varietà tecnologica
I 75 comportamenti individuati da GreyNoise non si limitano allo sfruttamento di vulnerabilità specifiche. Sono emerse tecniche come la scansione di autori in WordPress, l’accesso non autorizzato a file di configurazione come web.xml o .git, e la ricerca di variabili ambientali e directory di upload lasciate aperte. Questo dimostra un tentativo di sondaggio sistematico, mirato a identificare punti deboli ricorrenti in infrastrutture edge e middleware esposti pubblicamente.
Coordinamento centralizzato degli indirizzi malevoli
La sovrapposizione tra gli indirizzi IP coinvolti e i comportamenti tracciati conferma l’esistenza di un comando centralizzato. Quasi tutti i 251 IP hanno eseguito azioni identiche su CVE differenti, suggerendo l’uso di uno strumento operativo condiviso. L’impiego massivo di IP effimeri ospitati nel cloud rispecchia un trend in crescita negli attacchi moderni: elevata rotazione degli asset, bassa tracciabilità e ridotta possibilità di blocco preventivo.
Difesa reattiva e mitigazione consigliata
GreyNoise ha classificato tutti gli IP utilizzati come malevoli, raccomandando il blocco immediato delle relative connessioni in uscita. Gli amministratori sono invitati ad analizzare i log dell’8 maggio per eventuali contatti sospetti, attivare sistemi di difesa comportamentale basati su tag e considerare l’adozione di strumenti di threat intelligence dinamica. Inoltre, è essenziale trattare attività simili come segnali precoci di campagne exploitative, in particolare contro componenti legacy o esposti pubblicamente.
L’episodio analizzato rivela come una ricognizione cloud orchestrata possa sfruttare vulnerabilità datate e infrastrutture dimenticate con altissima efficienza. L’uso di AWS come base temporanea, la varietà degli exploit e la coerenza temporale degli attacchi confermano un approccio automatizzato e intenzionale, con potenziale di preparazione a ondate successive di sfruttamento attivo.
In uno scenario sempre più distribuito, in cui le applicazioni si estendono su ambienti ibridi e cloud, la visibilità del perimetro esposto è fondamentale. L’analisi comportamentale e la corretta gestione dei CVE storici devono diventare parte integrante della postura difensiva di ogni organizzazione.
