Cybercrime

Fog ransomware usa exploit Veeam, crea backdoor persistenti e simula operazioni APT

di Livio Varriale
scritto da Livio Varriale 0 commenti 5 minuti di lettura

Un attacco ransomware condotto nel maggio 2025 contro un istituto finanziario asiatico ha sollevato interrogativi profondi sulla natura sempre più ibrida delle campagne di cybercriminalità. Gli aggressori hanno utilizzato Fog ransomware, già noto per attacchi a istituzioni educative statunitensi, ma in questo caso con una catena d’attacco atipica, contrassegnata da strumenti da red teaming open-source e software legittimi riadattati per finalità malevole. Gli indizi fanno ipotizzare un’operazione non solo estorsiva, ma potenzialmente anche di spionaggio industriale.

Un arsenale anomalo: GC2, Adaptix, Stowaway e Syteca

Tra gli strumenti utilizzati compaiono:

  • GC2 (Google Command and Control): una backdoor che sfrutta Google Sheets e SharePoint per impartire comandi, ricevere output e esfiltrare dati via Google Drive. Raramente osservato in contesti ransomware, era precedentemente stato usato da APT41, gruppo legato allo stato cinese.
  • Adaptix C2 Beacon: componente di un framework open-source alternativo a Cobalt Strike, dotato di funzionalità complete di controllo remoto (C2) e altamente modulabile. È impiantato per fornire accesso persistente e facilitare movimenti laterali.
  • Stowaway proxy: impiegato per veicolare l’eseguibile di Syteca (ex Ekran), un software legittimo di monitoraggio aziendale con capacità di keylogging e screen capture. È stato usato dai cybercriminali per spiare e raccogliere informazioni sulle attività utente.

Questa combinazione riflette una convergenza fra strumenti da penetration testing e software legittimo riadattato, rendendo l’attacco più subdolo e complesso da rilevare.

Persistenza dopo l’estorsione: un’anomalia che fa pensare a spionaggio

Uno degli elementi più insoliti dell’incidente è il comportamento post-ransom: dopo il rilascio di Fog ransomware, gli attaccanti hanno creato un servizio persistente denominato SecurityHealthIron tramite comandi sc create e sc start, suggerendo la volontà di mantenere accesso a lungo termine sulla rete compromessa. Un comportamento atipico nei ransomware, che solitamente cessano ogni attività dopo la cifratura dei dati e la consegna del riscatto.

Altri strumenti di persistenza includono Process Watchdog, utilizzato per monitorare costantemente la presenza del backdoor GC2 (AppxModels.exe) e, in caso di assenza, ricreare automaticamente il processo per garantirne la continuità.

Tecniche di movimento laterale e cancellazione tracce

Il team di attacco ha fatto uso di:

  • PsExec e SMBExec, tool Microsoft e open-source per l’esecuzione remota e lateral movement, in sinergia con GC2 e Syteca.
  • Rimozione programmata di file e chiavi Syteca (taskkill, rm, del) e delle configurazioni .ini, per cancellare ogni traccia operativa.
  • Utilizzo di archiviatori come 7-zip e strumenti di sincronizzazione come MegaSync per esfiltrare grandi volumi di dati, confermando l’esistenza di una componente di data theft oltre la semplice cifratura.

Vettore d’ingresso: vulnerabilità in Veeam Backup & Replication

L’iniziale compromissione dell’ambiente IT è avvenuta sfruttando una vulnerabilità in Veeam Backup & Replication, piattaforma di backup largamente utilizzata in ambito enterprise. Gli attaccanti hanno identificato un’istanza esposta in rete, eseguendo comandi remoti con privilegi elevati tramite exploit su una porta API non autenticata. Secondo gli analisti, si tratterebbe di una variante della CVE-2023-27532, già sfruttata in passato da gruppi APT e ransomware-as-a-service.

Una volta ottenuto accesso al sistema Veeam, i criminali hanno installato stager GC2 e Adaptix, preparato backdoor persistenti e distribuito script per la raccolta di credenziali da lsass.exe e SAM registry. Il punto d’appoggio iniziale è stato così consolidato in meno di due ore.

Timeline dell’attacco e dinamica tattica

L’intero attacco si è svolto in una finestra temporale di cinque giorni:

  • Giorno 1: compromissione Veeam, impianto di GC2, raccolta credenziali e movimenti laterali.
  • Giorno 2-3: installazione e configurazione di Adaptix, download di Stowaway e Syteca, esfiltrazione parziale.
  • Giorno 4: rilascio del payload Fog ransomware sui file server, blocco dei backup e cifratura selettiva delle VM principali.
  • Giorno 5: avvio delle azioni di persistenza post-cifratura (SecurityHealthIron, Watchdog, auto-redeployment), esfiltrazione finale via MegaSync.

L’approccio degli attori è stato chirurgico, mirato e altamente personalizzato, con assenza di automatismi grezzi o tecniche rumorose. L’intento pareva bilanciare danno economico (riscatto) e valore informativo (spionaggio e raccolta dati proprietari).

Attributi tattici e possibili collegamenti con gruppi noti

Sebbene il gruppo non sia stato identificato con certezza, gli strumenti utilizzati e lo stile operativo mostrano forti somiglianze con cluster associati ad APT41 e a operatori ransomware ibridi tra Russia e Cina. L’uso di GC2, l’adozione di Adaptix al posto di Cobalt Strike, e la discrezione nel deployment suggeriscono attori con accesso a risorse sofisticate e con obiettivi strategici.

La presenza di Syteca (software legittimo per monitoraggio aziendale) integrato in modo nativo nell’attacco porta a ipotizzare interessi di lungo periodo nell’accesso ai dati sensibili, tra cui email interne, dati contabili e operazioni finanziarie in corso. Ciò differenzia Fog ransomware da altri strain più tradizionali come LockBit o Medusa.

Ransomware come vettore ibrido di operazioni cibernetiche

L’attacco attribuito a Fog ransomware segna un punto di svolta nella evoluzione del ransomware come strumento multifunzione: non più solo per la cifratura di dati e la richiesta di riscatto, ma anche come copertura per operazioni di accesso persistente, esfiltrazione strutturata e potenzialmente sabotaggio mirato.

La combinazione di strumenti da red teaming, vulnerabilità conosciute ma non patchate, software commerciali abusati e persistence module integrati dimostra la capacità degli attaccanti di modellare le campagne sulla base delle difese esistenti, sfruttando ogni debolezza residua.

Per contrastare questi attacchi, è fondamentale adottare strategie multilivello:

  • Segmentazione della rete e controllo dell’accesso laterale
  • Monitoraggio continuo dei processi anomali e servizi di sistema
  • Hardening proattivo dei software terzi più esposti (come Veeam)
  • Uso di EDR capaci di rilevare tool dual-use come GC2 e Adaptix

Nel 2025, la sicurezza IT richiede una difesa adattiva e predittiva, capace di rispondere a minacce ibride che vanno oltre l’estorsione classica e abbracciano l’intero spettro delle operazioni cibernetiche avanzate.

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Articoli correlati

Assicurazioni e cybercrime: Scattered Spider, Qilin, truffe crypto...

Polizia di Stato sventa attacco spoofing da oltre...

Cybercrime: ex analista CIA condannato, data breach Episource...

Ricatti a Scania, deepfake su Instagram, breach Cock.li...

Scattered Spider si concentra sulle assicurazioni USA mentre...

La fondatrice di 23andMe riacquista la società: Zoomcar...

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope