Nel mese di ottobre 2025 Morphisec intercetta e neutralizza un attacco sofisticato basato sul framework Tuoni C2, diretto contro una grande azienda immobiliare degli Stati Uniti. L’azione preventiva della piattaforma, basata sulla tecnologia Automated Moving Target Defense (AMTD), blocca la minaccia prima dell’esecuzione del payload, impedendo esfiltrazione dati, movimenti laterali e potenziale deploy di ransomware. Gli attaccanti impiegano Tuoni come strumento di comando e controllo per il caricamento stealthy di moduli in memoria, sfruttando una catena d’infezione costruita su ingegneria sociale tramite Microsoft Teams, steganografia in immagini e caricamento riflettivo di TuoniAgent.dll. L’incidente conferma la diffusione crescente di framework modulari potenziati da componenti generate tramite AI e l’importanza di soluzioni di difesa preventive capaci di bloccare minacce in-memory prima che possano agire sul sistema.
Cosa leggere
Cronologia dell’attacco e accesso iniziale
Morphisec rileva l’attività malevola a metà ottobre 2025. Gli aggressori adottano una strategia di accesso iniziale basata su impersonificazione in Microsoft Teams, inducendo un dipendente a eseguire un comando PowerShell tramite una finestra nascosta. L’operazione non sfrutta vulnerabilità tecniche, ma mira al fattore umano: la fiducia nella piattaforma collaborativa permette di eludere i controlli tradizionali. Il comando avvia il download di uno script da un dominio compromesso e tenta di generare un processo invisibile destinato a preparare il payload. La piattaforma Morphisec intercetta e blocca il loader nella sua fase iniziale, impedendo l’esecuzione di qualsiasi componente successivo. L’episodio evidenzia come la combinazione di social engineering e piattaforme di comunicazione aziendale costituisca oggi uno dei vettori più efficaci per ottenere esecuzione diretta di codice su workstation interne.
Steganografia e esecuzione in memoria
Lo script scaricato dagli aggressori utilizza steganografia per nascondere il codice malevolo all’interno di un’immagine BMP apparentemente innocua. Attraverso tecniche basate sui least significant bit, il loader estrae shellcode in modo invisibile ai controlli tradizionali. Il codice include commenti generati da AI e sfrutta una struttura modulare che impiega Marshal.GetDelegateForFunctionPointer per eseguire funzioni dinamicamente, evitando chiamate dirette a WinAPI che potrebbero essere intercettate dagli EDR. Questa forma di esecuzione “fileless” consente agli attaccanti di caricare riflettivamente TuoniAgent.dll, che rappresenta il cuore dell’infrastruttura C2. Morphisec analizza i metodi utilizzati, rilevando funzioni come Invoke-DataBlock che orchestrano la sequenza di avvio del payload. La piattaforma, grazie ad AMTD, blocca il processo prima che l’agente venga caricato in memoria, impedendo ogni successivo comando da parte degli attori malevoli.
Il framework Tuoni come nucleo dell’impianto
Tuoni è un framework C2 emergente, gratuito e già diffuso in operazioni di post-exploitation. Supporta comunicazioni tramite HTTP, HTTPS e SMB, e offre funzionalità che includono gestione degli agenti, manipolazione del sistema e escalation automatica a SYSTEM. Il framework utilizza esportazioni offuscate e dati XOR-encoded, decodificati solo durante il caricamento riflettivo. I ricercatori di Morphisec sviluppano un decoder Python per analizzare la configurazione incorporata nell’agente, confermando la presenza di C2 primari su indirizzi IP e domini come kupaoquan.com e udefined30.domainofhonour40.xyz. Tuoni, grazie alla sua modularità e alla documentazione accessibile, risulta appetibile per gruppi ransomware e attori emergenti che necessitano di un controllo remoto rapido e difficilmente rilevabile. La modalità con cui Tuoni integra shellcode, agenti DLL e comandi di sistema lo rende uno strumento flessibile e pericoloso, soprattutto quando combinato con vettori iniziali affidati completamente all’inganno dell’utente. La possibilità di elevare privilegi, muoversi lateralmente e aggiornare moduli rende la piattaforma ideale per campagne silenziose e durevoli.
Lezioni operative e takeaway per i professionisti
L’incidente mostra che framework come Tuoni stanno rapidamente guadagnando popolarità tra gruppi criminali grazie alla loro gratuità, alla modularità e all’impiego crescente di componenti generate da modelli AI. Le tecniche osservate — steganografia avanzata, delegazione dinamica delle funzioni, esecuzione fileless — indicano un cambiamento strategico nell’evasione dei controlli. Morphisec sottolinea l’importanza di soluzioni orientate alla prevenzione, poiché EDR e antivirus tradizionali non offrono protezione efficace contro threat che operano interamente in memoria. L’uso di AMTD si rivela decisivo contro minacce che sfruttano canali di comunicazione aziendali per ottenere esecuzione diretta sul sistema, oltre a tecniche di caricamento offuscato e reflective injection.
