PipeMagic evolve con exploit CVE-2025-29824

di Redazione
0 commenti 6 minuti di lettura

La backdoor PipeMagic rappresenta oggi una delle minacce più sofisticate nel panorama della sicurezza informatica, capace di adattarsi in pochi anni da semplice strumento di supporto ad attacchi ransomware fino a diventare una piattaforma modulare, resiliente e integrata con exploit zero-day come la CVE-2025-29824. Le analisi condotte da Kaspersky Lab e BI.ZONE raccontano l’evoluzione di questa backdoor dal 2022 al 2025, documentando un malware che ha seguito un percorso di trasformazione costante, ampliando tattiche, vettori di attacco e aree geografiche colpite. Oggi PipeMagic viene sfruttato soprattutto dal gruppo Storm-2460, che ha combinato le sue capacità con vulnerabilità del kernel Windows per ottenere accessi privilegiati e muoversi lateralmente nelle reti delle vittime, compromettendo settori industriali, aziende sensibili e organizzazioni governative in più continenti.

L’evoluzione di PipeMagic dal 2022 al 2025

La prima comparsa di PipeMagic risale al dicembre 2022, quando è stato rilevato in campagne legate al ransomware RansomExx contro aziende industriali nel Sud-est asiatico. In quella fase iniziale il malware veniva distribuito tramite applicazioni trojanizzate, come una versione modificata di Rufus, e agiva principalmente come backdoor con due modalità: da un lato strumento di accesso remoto, dall’altro gateway di rete per facilitare movimenti laterali e caricamento di payload aggiuntivi. Già allora il codice mostrava caratteristiche insolite, con l’uso di pipe nominate per la comunicazione interna e moduli scaricabili dinamicamente.

image 281
PipeMagic evolve con exploit CVE-2025-29824 7

La seconda fase è stata documentata nel settembre 2024, quando PipeMagic è riemerso in Arabia Saudita attraverso un loader camuffato da client ChatGPT scritto in Rust, basato su framework Tauri e Tokio. Questo loader apriva semplicemente una schermata vuota, ma al suo interno custodiva un array crittografato con AES da oltre 105 KB, che veniva decrittato ed eseguito come shellcode in memoria. L’impiego di tecniche di hashing FNV-1a per risolvere API e il ricorso a GetProcAddress dimostravano l’attenzione degli operatori per l’evasione dai sistemi di rilevamento. Nel 2025 la minaccia ha raggiunto un nuovo livello di maturità, con infezioni documentate in Brasile e Arabia Saudita e l’utilizzo di loader diversificati, fra cui file di Microsoft Help Index manipolati e nuove varianti del finto client ChatGPT. Alcuni campioni hanno mostrato l’uso di DLL hijacking attraverso librerie firmate legittimamente, ma contenenti codice malevolo inserito in fase di caricamento. L’evoluzione ha reso PipeMagic una backdoor estremamente flessibile, capace di sfruttare software legittimi per celarsi nei sistemi compromessi e di utilizzare metodi di injection in processi trusted come winlogon.exe e dllhost.exe.

Loader, evasione e meccanismi di caricamento

Il punto di forza di PipeMagic risiede proprio nella varietà dei loader utilizzati. In origine, nel 2022, gli operatori si limitavano a distribuire il malware tramite applicazioni di uso comune alterate per veicolare codice dannoso. Successivamente hanno scelto loader più credibili, come il già citato client ChatGPT falso, che ha rappresentato una svolta nel social engineering applicato alla distribuzione del malware. Nel 2025 gli attaccanti hanno introdotto loader ancora più ingannevoli, come file di aiuto Microsoft modificati con codice C# offuscato e payload decrittati in RC4, oltre a DLL firmate legittimamente ma sfruttate per side-loading. Questi loader sono accomunati dalla capacità di eseguire il malware in memoria senza lasciare tracce su disco, una caratteristica che rende l’analisi forense molto più difficile. Alcuni utilizzano chiavi AES e IV predefiniti, altri sfruttano catene di vulnerabilità in DLL legittime per iniettare codice ostile. L’attenzione per i dettagli tecnici, come l’uso di hashing per la risoluzione delle API, testimonia un livello di sviluppo costantemente aggiornato.

Capacità e moduli del backdoor

Una volta installato, PipeMagic scarica moduli aggiuntivi dai server di comando e controllo, ospitati su infrastrutture cloud come Microsoft Azure, riducendo così la probabilità di essere bloccato. I moduli permettono di gestire comandi di file I/O, creare pipe nominate dinamiche, avviare sessioni di comunicazione criptata e scaricare ulteriori plugin. Alcuni moduli sono stati osservati mentre eseguivano il dump del processo LSASS, rinominando strumenti legittimi come ProcDump in dllhost.exe per bypassare i controlli di sicurezza. Il malware è anche capace di bypassare AMSI attraverso la patch delle funzioni AmsiScanString e AmsiScanBuffer, restituendo valori nulli che impediscono la rilevazione. Altri moduli introducono funzioni per il movimento laterale, l’esfiltrazione di dati e l’iniezione di codice in processi ad alta integrità. L’uso di pipe nominate come \.\pipe\magic3301 o \.\pipe\1. conferma la volontà di sfruttare canali locali criptati per ridurre al minimo il traffico esterno.

Lo sfruttamento della vulnerabilità CVE-2025-29824

Il vero salto di qualità arriva con l’integrazione dell’exploit per la CVE-2025-29824, una vulnerabilità zero-day in clfs.sys che consente l’elevazione dei privilegi a NT AUTHORITY\SYSTEM. Questo difetto è stato sfruttato dal gruppo Storm-2460 in attacchi documentati in Arabia Saudita, Spagna, Venezuela e Stati Uniti. L’exploit manipola strutture kernel attraverso chiamate come NtQuerySystemInformation per ottenere indirizzi sensibili e sfrutta funzioni come RtlSetAllBits per modificare bitmap di privilegi. Una volta compromesse le strutture EPROCESS, il malware ottiene privilegi di sistema, creando file come PDUDrv.blf per interagire con clfs.sys. Dopo l’elevazione, PipeMagic inietta codice in winlogon.exe, dumpa LSASS per estrarre credenziali e facilita il movimento laterale. Questo schema consente agli attaccanti di consolidare la propria posizione all’interno della rete e aprire la strada a ransomware come RansomExx.

Infrastruttura C2 e comunicazioni

Le comunicazioni di PipeMagic avvengono principalmente tramite server C2 su Azure, come il dominio hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com, e attraverso pipe nominate locali. Questa scelta riduce la visibilità del traffico, poiché gran parte delle operazioni resta confinata in loopback su 127.0.0.1:8082. La criptazione AES e RC4 garantisce ulteriore protezione ai payload trasferiti, mentre la struttura modulare del C2 permette di scaricare plugin specifici per ciascuna fase dell’attacco.

Attribuzione e profili delle vittime

Microsoft attribuisce l’uso della CVE-2025-29824 al gruppo Storm-2460, che sembra avere accesso privilegiato a exploit di livello kernel e mostra una predilezione per attacchi contro enti governativi e aziende di settori critici. La cronologia delle campagne dimostra un’evoluzione progressiva: dal Sud-est asiatico nel 2022, all’Arabia Saudita nel 2024, fino a Brasile, Spagna e Stati Uniti nel 2025. Le vittime hanno subito furti di credenziali, interruzioni operative e in alcuni casi la cifratura dei dati, in un contesto che suggerisce la collaborazione con altri gruppi specializzati in ransomware.

Difesa e mitigazione

Gli esperti raccomandano alle organizzazioni di applicare immediatamente le patch per clfs.sys e monitorare con attenzione la creazione di pipe sospette e le anomalie nei processi di sistema. È necessario implementare EDR avanzati capaci di rilevare tecniche di DLL side-loading e bypass AMSI, rafforzare le policy di least privilege e sensibilizzare i dipendenti contro i loader che si presentano come software legittimi. L’uso di infrastrutture cloud affidabili da parte degli attaccanti obbliga inoltre a un controllo più accurato del traffico verso domini Azure e servizi simili.

Articoli correlati

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies