Operation Poisson mostra come Tailscale possa garantire persistenza dopo il takedown del C2

Le campagne cybercriminali più pericolose non sono necessariamente quelle condotte da gruppi avanzati o sostenute da infrastrutture multimilionarie. L’analisi pubblicata da Cato Networks su Operation Poisson dimostra come anche un singolo attore con competenze relativamente limitate possa compromettere sistemi reali e mantenere l’accesso per settimane sfruttando strumenti gratuiti e tecniche di persistenza intelligenti. L’operazione, attribuita a un cybercriminale francofono noto come Poisson o Stikou68, ha preso di mira individui privati e una piccola azienda francese utilizzando una catena di attacco multi-stadio basata su VBScript, PowerShell, Havoc C2, Tailscale, OpenSSH e un keylogger Python. L’aspetto più interessante emerso dalla ricerca riguarda la capacità dell’attaccante di mantenere il controllo delle macchine compromesse anche dopo la neutralizzazione del server di comando e controllo principale, sfruttando una rete mesh VPN costruita con Tailscale.

Chi è Poisson e perché il caso è interessante

L’operatore dietro Operation Poisson non appartiene a gruppi APT né a organizzazioni criminali strutturate. Secondo l’analisi di Cato Networks, si tratta di un individuo francofono che opera prevalentemente in orari compatibili con quelli di uno studente e che utilizza quasi esclusivamente strumenti gratuiti o freemium. Nonostante limiti tecnici evidenti e una OPSEC spesso imperfetta, l’attaccante è riuscito a compromettere diversi sistemi e a mantenere accessi persistenti per lunghi periodi. Il caso è particolarmente interessante perché mostra come il livello di sofisticazione necessario per causare danni reali si sia notevolmente abbassato.

Grazie alla disponibilità di framework open source, servizi cloud economici e strumenti di amministrazione remota legittimi, anche attori con competenze moderate possono costruire campagne efficaci senza investimenti significativi. L’obiettivo principale dell’operazione non era la distribuzione di ransomware o il furto massivo di dati, ma la raccolta mirata di credenziali bancarie e account email attraverso attività di keylogging persistente.

Una catena di attacco costruita per eludere il rilevamento

L’infezione analizzata da Cato Networks utilizza una sequenza di esecuzione progettata per ridurre le possibilità di rilevamento da parte delle soluzioni di sicurezza tradizionali. Il processo inizia con uno stager VBScript cifrato tramite AES, configurato per rimanere inattivo per circa 120 secondi prima di avviare le fasi successive dell’attacco. Questo ritardo ha lo scopo di aggirare le sandbox automatiche che monitorano il comportamento dei file nei primi istanti di esecuzione.

Una volta attivato, lo script decifra un payload PowerShell incaricato di scaricare una DLL .NET codificata attraverso più livelli di offuscamento. All’interno della DLL è presente shellcode nascosto mediante parole apparentemente innocue in lingua inglese. Il caricamento finale avviene tramite un loader basato su Donut, che inietta direttamente in memoria l’agente Havoc Demon. L’intera procedura segue una logica fortemente fileless, riducendo il numero di artefatti permanenti presenti sul disco e rendendo più complessa l’identificazione dell’attività malevola.

Havoc diventa il centro operativo dell’infezione

Una volta completata la compromissione iniziale, l’attaccante ottiene il controllo del sistema attraverso il framework Havoc, una piattaforma open source utilizzata come alternativa moderna a strumenti come Cobalt Strike. L’agente Havoc Demon consente l’esecuzione remota di comandi, la gestione dei processi, il caricamento di payload aggiuntivi e il controllo generale della macchina infetta. Per aumentare la stabilità dell’accesso, Poisson procede rapidamente con l’elevazione dei privilegi attraverso meccanismi di bypass del User Account Control (UAC) e installa diversi sistemi di persistenza. Tra questi figurano attività pianificate, modifiche al sistema operativo e iniezione di shellcode all’interno di processi legittimi come Explorer.exe. Questa fase rappresenta il passaggio fondamentale che trasforma una semplice infezione iniziale in una compromissione persistente capace di sopravvivere ai riavvii e alle attività di manutenzione ordinarie.

Tailscale garantisce l’accesso anche dopo il takedown del C2

L’elemento che rende Operation Poisson particolarmente interessante dal punto di vista difensivo è l’utilizzo di Tailscale come meccanismo di persistenza secondaria. Dopo aver installato OpenSSH Server e configurato Tailscale, l’attaccante ha creato una rete mesh VPN privata che gli ha consentito di mantenere la connettività verso i sistemi compromessi indipendentemente dalla disponibilità del server Havoc C2. L’8 aprile il server principale di comando e controllo è stato neutralizzato, evento che in molte campagne tradizionali avrebbe interrotto completamente l’operazione.

Tuttavia Poisson è riuscito a riconnettersi alle macchine il 26 aprile utilizzando proprio la rete Tailscale ancora attiva sui dispositivi compromessi. Questo episodio dimostra come la semplice rimozione dell’infrastruttura C2 non sia più sufficiente per considerare risolta una compromissione. Quando vengono impiegati strumenti legittimi di amministrazione remota, gli attaccanti possono mantenere accessi alternativi difficili da individuare e da bloccare.

RustDesk e OpenSSH ampliano la resilienza operativa

Oltre a Tailscale, l’operazione ha utilizzato ulteriori strumenti per garantire continuità operativa. Tra questi compare RustDesk, soluzione open source per accesso remoto che l’attaccante avrebbe compilato personalmente per adattarla alle proprie esigenze. L’uso di versioni personalizzate complica ulteriormente il rilevamento basato su firme e indicatori statici. A questo si aggiungono tunnel SSH inversi e installazioni permanenti di OpenSSH Server, che forniscono ulteriori canali di accesso nel caso in cui altri strumenti vengano rilevati o rimossi. Questa strategia multi-livello dimostra una comprensione pratica del problema della resilienza operativa. Anche se l’attaccante non possiede competenze avanzate paragonabili a quelle di gruppi professionali, è riuscito a costruire una rete di accessi ridondanti che ha aumentato significativamente la durata della compromissione.

Il keylogger Python è il vero obiettivo dell’operazione

Contrariamente a molte campagne contemporanee focalizzate su ransomware o furto massivo di dati, Operation Poisson aveva un obiettivo molto più specifico: raccogliere credenziali. Per farlo l’attaccante ha implementato un keylogger Python basato sulla libreria pynput, capace di registrare ogni tasto premuto dalla vittima. Le informazioni raccolte venivano archiviate localmente in file di log e recuperate manualmente durante le sessioni di accesso remoto. L’assenza di infrastrutture dedicate per l’esfiltrazione riduceva il traffico sospetto e abbassava ulteriormente la visibilità dell’operazione. Le credenziali bancarie e gli account email rappresentavano i bersagli principali. Questa scelta riflette una logica tipica degli attori meno sofisticati, che preferiscono obiettivi facilmente monetizzabili e attività a basso rischio rispetto a campagne più rumorose e complesse.

Vittime limitate ma impatto concreto

Le indagini hanno identificato quattro individui francesi e una piccola azienda del settore automotive come principali vittime dell’operazione. A differenza delle campagne orientate alla compromissione di intere infrastrutture aziendali, Poisson ha mantenuto un approccio molto focalizzato sui singoli endpoint. Non sono stati osservati tentativi significativi di movimento laterale o di compromissione estesa delle reti interne. L’attenzione era concentrata sull’acquisizione di credenziali dai dispositivi direttamente controllati. Questo modello operativo è particolarmente comune tra cybercriminali emergenti che dispongono di risorse limitate e puntano a ottenere risultati immediati senza attirare l’attenzione delle autorità o dei team di sicurezza. Sebbene il numero di vittime sia relativamente ridotto, il caso dimostra come anche operazioni di piccola scala possano generare danni economici e problemi di sicurezza significativi.

La remediation deve andare oltre la rimozione del server C2

Uno dei principali insegnamenti dell’analisi riguarda le attività di risposta agli incidenti. La neutralizzazione del server Havoc C2 non ha interrotto l’operazione perché l’attaccante disponeva già di meccanismi alternativi di accesso. Questo evidenzia l’importanza di verificare la presenza di strumenti come Tailscale, RustDesk e OpenSSH durante le attività di remediation. Le organizzazioni non dovrebbero limitarsi alla ricerca di malware tradizionali ma analizzare attentamente l’installazione di software di amministrazione remota non autorizzati, la presenza di servizi SSH anomali e la creazione di nuove attività pianificate. La crescente diffusione delle reti mesh VPN e dei sistemi di accesso remoto legittimi sta infatti offrendo ai cybercriminali nuove opportunità per mantenere la persistenza senza sviluppare malware particolarmente sofisticati.

Operation Poisson dimostra la crescita delle minacce low-cost

La ricerca di Cato Networks mostra come il panorama delle minacce stia evolvendo verso modelli sempre più accessibili. Operation Poisson non è stata condotta da un gruppo sponsorizzato da uno Stato né da un’organizzazione criminale avanzata, ma da un singolo individuo che ha sfruttato strumenti open source, servizi gratuiti e tecniche relativamente semplici per mantenere il controllo di sistemi compromessi per settimane. L’utilizzo combinato di Havoc, Tailscale, OpenSSH, RustDesk e keylogger Python dimostra che la disponibilità di tecnologie legittime può amplificare significativamente le capacità operative di attori con competenze limitate. Per aziende e utenti privati il messaggio è chiaro: la pericolosità di una minaccia non dipende soltanto dal livello tecnico dell’attaccante, ma dalla capacità di combinare strumenti comuni in modo creativo e persistente.