wp shellstorm xring xquic ill bloom wordpress http3 wallet crypto

WordPress, HTTP/3 e wallet crypto sotto attacco: WP-SHELLSTORM, XRING e Ill Bloom preoccupano la sicurezza

🛡️ Executive Summary

  • La campagna WP-SHELLSTORM ha compromesso migliaia di siti WordPress sfruttando plugin vulnerabili e installando webshell persistenti.
  • La vulnerabilità XRING in XQUIC consente un attacco DoS contro server HTTP/3 e, al momento, non dispone di una patch ufficiale.
  • L’operazione Ill Bloom ha sfruttato generatori casuali deboli per sottrarre oltre 5 milioni di dollari da wallet di criptovalute.

Tre episodi distinti emersi tra la fine di giugno e i primi giorni di luglio mostrano come il panorama delle minacce informatiche continui a evolversi sfruttando vulnerabilità molto diverse tra loro. Da una parte, l’esposizione accidentale dell’infrastruttura di un gruppo criminale ha consentito ai ricercatori di ricostruire la campagna WP-SHELLSTORM, che ha compromesso migliaia di siti WordPress attraverso plugin non aggiornati. Parallelamente è stata resa pubblica XRING, una vulnerabilità critica che interessa la libreria XQUIC sviluppata da Alibaba e utilizzata per implementare HTTP/3, in grado di provocare il crash remoto dei server con un payload di dimensioni estremamente ridotte. Infine, l’operazione denominata Ill Bloom ha dimostrato come vecchi errori nella generazione casuale delle seed phrase possano ancora causare perdite milionarie nel settore delle criptovalute. Pur appartenendo ad ambiti differenti, le tre vicende evidenziano un elemento comune: sistemi non aggiornati, componenti vulnerabili e implementazioni difettose continuano a rappresentare uno dei principali punti di ingresso per gli attaccanti.

WP-SHELLSTORM sfrutta plugin vulnerabili per compromettere migliaia di siti WordPress

La campagna WP-SHELLSTORM è stata ricostruita dopo che un server appartenente agli stessi attaccanti è rimasto accidentalmente esposto su Internet per circa tre settimane a causa di una configurazione errata di un semplice web server Python. L’errore operativo ha permesso ai ricercatori di analizzare l’intera infrastruttura utilizzata durante gli attacchi, comprendente exploit, scanner automatici, webshell, dropper e vaste liste di bersagli. Il materiale recuperato includeva strumenti destinati allo sfruttamento di 27 vulnerabilità differenti e un database con oltre 1,4 milioni di domini, costituito prevalentemente da installazioni WordPress, ma comprendente anche numerosi siti Joomla.

image 292
Cosa è stato rubato durante la campagna Nacos e il passaggio, avvenuto in cinque settimane, all’operazione WordPress.

Tra gli exploit più efficaci figura quello relativo alla CVE-2026-3844, vulnerabilità che interessa il plugin Breeze per WordPress e che avrebbe consentito la compromissione di oltre 17.000 siti su circa 45.000 tentativi effettuati dagli attaccanti. Oltre a Breeze, gli operatori hanno sfruttato vulnerabilità nei componenti Joomla JCE Editor, ThemeREX Addons, WP File Manager e numerosi altri plugin ormai privi degli aggiornamenti di sicurezza più recenti.

Webshell, backdoor e credenziali cloud ampliano la portata dell’attacco

Una volta ottenuto l’accesso al sito vulnerabile, gli attaccanti installavano generalmente una webshell denominata down.php, opportunamente offuscata per ridurne il rilevamento da parte degli strumenti di sicurezza. Attraverso questa backdoor era possibile eseguire comandi arbitrari, caricare nuovi file, avviare reverse shell, individuare software antivirus e mantenere un accesso persistente ai server compromessi.

image 293
L’intera catena di attacco WP-SHELLSTORM, mappata su MITRE ATT&CK

In diversi casi il gruppo ha utilizzato anche il dropper SNOWLIGHT, impiegato per distribuire il malware VShell, progettato per mascherarsi come normale processo di sistema e garantire una persistenza più sofisticata. Le analisi hanno inoltre evidenziato che lo stesso gruppo aveva precedentemente preso di mira infrastrutture Java aziendali, raccogliendo centinaia di file di configurazione contenenti credenziali cloud appartenenti a servizi come AWS, Alibaba Cloud e Oracle Cloud, oltre a numerose chiavi private. Pur mostrando un’infrastruttura relativamente sofisticata, gli operatori hanno commesso diversi errori operativi che hanno infine permesso di ricostruire l’intera campagna.

XRING mette sotto pressione i server HTTP/3 basati su XQUIC

Annuncio

La seconda vicenda riguarda XRING, vulnerabilità scoperta nella libreria XQUIC, progetto open source sviluppato da Alibaba per implementare il protocollo QUIC e il supporto HTTP/3. Il difetto interessa tutte le versioni fino alla 1.9.4 inclusa e deriva da un errore nella gestione della tabella dinamica QPACK, il sistema utilizzato per comprimere gli header HTTP. Secondo i ricercatori, un client remoto può inviare un pacchetto di appena 260 byte costruito correttamente dal punto di vista del protocollo ma capace di indurre il server in uno stato anomalo che provoca un integer underflow durante le operazioni di copia dei dati. Il risultato finale è una scrittura oltre i limiti della memoria (out-of-bounds write) che porta rapidamente al crash del processo responsabile della gestione delle connessioni HTTP/3. Il problema interessa potenzialmente tutte le implementazioni che utilizzano XQUIC, compresi server basati su Tengine, la distribuzione di Nginx sviluppata da Alibaba e impiegata in numerosi servizi cloud e piattaforme di grandi dimensioni.

Nessuna patch disponibile per la vulnerabilità XQUIC

Uno degli aspetti più critici della vulnerabilità è rappresentato dall’assenza di una correzione ufficiale. I ricercatori hanno dichiarato di aver notificato ripetutamente il problema al vendor senza ricevere risposta, scegliendo successivamente di rendere pubblica la vulnerabilità attraverso una responsible disclosure scaduta. In attesa di una patch, le uniche mitigazioni disponibili consistono nel disabilitare completamente il supporto HTTP/3 oppure configurare il parametro SETTINGS_QPACK_MAX_TABLE_CAPACITY a zero, impedendo l’utilizzo della tabella dinamica responsabile della vulnerabilità. Si tratta tuttavia di misure temporanee che possono ridurre alcune funzionalità del protocollo e incidere sulle prestazioni complessive dei server. La scoperta evidenzia come anche protocolli relativamente recenti come HTTP/3 possano introdurre nuove superfici di attacco, soprattutto quando vengono adottati rapidamente in ambienti di produzione senza un’adeguata maturità del software sottostante.

Ill Bloom sfrutta seed phrase prevedibili per svuotare centinaia di wallet

Il terzo episodio riguarda il settore delle criptovalute. L’operazione denominata Ill Bloom ha preso di mira wallet creati con software che utilizzavano generatori di numeri casuali deboli per costruire le seed phrase, ossia le frasi di recupero che consentono di rigenerare completamente un portafoglio. Invece di tentare un tradizionale attacco brute force contro chiavi crittografiche praticamente impossibili da indovinare, gli aggressori hanno sfruttato il numero limitato di combinazioni generate da questi software legacy. Dopo aver prodotto tutte le possibili seed phrase deboli, hanno derivato automaticamente gli indirizzi corrispondenti e interrogato la blockchain per individuare quelli contenenti fondi. Il 27 maggio 2026 è stata eseguita un’operazione coordinata che ha svuotato 431 wallet, sottraendo circa 3,1 milioni di dollari, principalmente in Bitcoin, ma anche in Ethereum, Tron e Polygon. Un ulteriore wallet vulnerabile ha consentito il furto di circa 2,1 milioni di dollari in USDT, portando il totale delle perdite confermate a oltre 5 milioni di dollari.

Software legacy e aggiornamenti mancati continuano a favorire gli attaccanti

Le tre vicende dimostrano come gli attaccanti continuino a ottenere risultati sfruttando vulnerabilità consolidate piuttosto che tecniche particolarmente sofisticate. Nel caso di WP-SHELLSTORM, il principale fattore di successo è rappresentato dalla presenza di plugin WordPress obsoleti o non aggiornati. Nel caso di XRING, la mancanza di una patch ufficiale mantiene esposte numerose implementazioni HTTP/3 basate su XQUIC, mentre l’operazione Ill Bloom conferma che software crypto sviluppati anni fa possono ancora mettere a rischio gli utenti attraverso generatori casuali non sufficientemente robusti. Per amministratori di sistema, sviluppatori e utenti finali emerge ancora una volta la necessità di mantenere costantemente aggiornati plugin, librerie e applicazioni, verificare la qualità dei componenti crittografici utilizzati e sostituire rapidamente software legacy che non rispettano più gli attuali standard di sicurezza. Anche vulnerabilità apparentemente minori o presenti da tempo possono infatti trasformarsi in campagne di compromissione su larga scala quando vengono sfruttate in maniera automatizzata dagli attori delle minacce.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto