Analisi del loader TaskWeaver su SimpleHelp e gli attacchi in corso su Oracle E-Business Suite

🛡️ Executive Summary

• CISA aggiunge CVE-2026-48558 di SimpleHelp alla KEV dopo lo sfruttamento attivo per distribuire i malware TaskWeaver e Djinn.
• Gli attaccanti sfruttano un bypass di autenticazione per ottenere privilegi technician e distribuire un loader Node.js capace di installare un infostealer multipiattaforma.
• Parallelamente iniziano gli exploit della vulnerabilità critica CVE-2026-46817 in Oracle E-Business Suite, con attività osservata su honeypot Internet-facing.

La fine di giugno porta due nuove emergenze per i responsabili della sicurezza informatica. La Cybersecurity and Infrastructure Security Agency (CISA) ha inserito la vulnerabilità CVE-2026-48558 di SimpleHelp nel catalogo delle Known Exploited Vulnerabilities (KEV) dopo la conferma di campagne di sfruttamento attivo, mentre ricercatori di sicurezza hanno osservato i primi tentativi di compromissione della vulnerabilità critica CVE-2026-46817 che interessa Oracle E-Business Suite. Sebbene riguardino prodotti differenti, le due campagne condividono un elemento fondamentale: entrambe prendono di mira piattaforme utilizzate per amministrazione remota o gestione di processi aziendali critici, offrendo agli aggressori l’opportunità di ottenere privilegi elevati e distribuire ulteriori malware all’interno delle infrastrutture compromesse.

CISA inserisce CVE-2026-48558 nel catalogo KEV

Il 29 giugno 2026 la CISA ha aggiunto CVE-2026-48558 al proprio catalogo Known Exploited Vulnerabilities, confermando l’esistenza di prove concrete di sfruttamento in ambiente reale. La vulnerabilità interessa SimpleHelp, una piattaforma di Remote Monitoring and Management (RMM) ampiamente utilizzata da Managed Service Provider (MSP), helpdesk e reparti IT per amministrare sistemi remoti. Il difetto coinvolge le installazioni configurate con autenticazione OpenID Connect (OIDC) e consente a un attaccante remoto di aggirare completamente il processo di autenticazione, creando un nuovo account technician con privilegi amministrativi senza possedere credenziali valide.

CVE-2026-48558 SimpleHelp Authentication Bypass Vulnerability

Al momento della divulgazione risultavano esposti su Internet circa mille server SimpleHelp vulnerabili. Come avviene per tutte le vulnerabilità inserite nella KEV, la CISA invita le organizzazioni a trattare la correzione come prioritaria, verificando prima dell’applicazione delle patch l’eventuale presenza di compromissioni già avvenute.

Il bypass di autenticazione apre la strada alla compromissione completa

La vulnerabilità permette agli aggressori di ottenere una sessione autenticata come tecnico sfruttando esclusivamente richieste di rete opportunamente costruite. Una volta acquisiti i privilegi amministrativi, gli attaccanti possono utilizzare tutte le funzionalità legittime offerte dalla piattaforma di gestione remota, inclusi il trasferimento di file, l’esecuzione di programmi e l’accesso ai sistemi amministrati.

L’analisi condotta dal Blackpoint Cyber Adversary Pursuit Group mostra che l’attacco inizia con il download di un file JavaScript offuscato denominato jquery.js, distribuito da un dominio temporaneo ospitato tramite infrastrutture Cloudflare. Il file viene eseguito mediante node.exe e costituisce il primo stadio di una catena di infezione progettata per installare ulteriori componenti malevoli senza destare sospetti.

TaskWeaver utilizza Node.js per eludere il rilevamento

Il malware distribuito attraverso SimpleHelp è stato identificato come TaskWeaver, un loader sviluppato in Node.js e distribuito sotto forma di bundle webpack altamente offuscato, con dimensioni superiori a 1 MB. L’intero codice è condensato in una singola riga e ricostruisce dinamicamente la funzione require di Node.js, evitando riferimenti statici ai moduli di sistema come crypto, child_process e Buffer, tecnica che rende molto più difficile l’individuazione da parte degli strumenti di analisi automatica. TaskWeaver è compatibile anche con applicazioni basate su Electron e, una volta eseguito, raccoglie numerose informazioni sul sistema compromesso, tra cui sistema operativo, hostname, indirizzi MAC, processi in esecuzione e configurazione dell’ambiente. Successivamente stabilisce una connessione cifrata con un server di Command and Control (C2) che simula il traffico dei Microsoft Dev Tunnels. La comunicazione utilizza AES-256-GCM, mentre la chiave simmetrica viene protetta mediante RSA-2048 OAEP, garantendo un elevato livello di riservatezza delle comunicazioni tra malware e infrastruttura degli aggressori.

Djinn prende di mira cloud, AI e criptovalute

Tra i payload distribuiti da TaskWeaver figura Djinn, un infostealer multipiattaforma finora poco documentato e progettato per operare su Windows, Linux e macOS. Il malware esegue una raccolta estremamente selettiva di dati sensibili, evitando directory poco interessanti come cache, repository Git e file temporanei per ridurre il rumore e massimizzare il valore delle informazioni sottratte. L’elenco dei bersagli comprende credenziali di servizi cloud come AWS, Microsoft Azure, Google Cloud, Oracle Cloud, Cloudflare e Okta, oltre a strumenti di sviluppo quali Git, GitHub CLI, chiavi SSH, Docker, Terraform, Pulumi, Helm e HashiCorp Vault. Particolarmente significativo è il supporto per il furto dei token associati agli strumenti di sviluppo basati sull’intelligenza artificiale. Djinn è infatti in grado di estrarre configurazioni e credenziali relative al Model Context Protocol (MCP) utilizzato da piattaforme come Claude, Gemini, Codex, Cline, OpenCode e Kilo, aprendo la strada all’accesso non autorizzato a repository, database e infrastrutture cloud. Il malware ricerca inoltre dati appartenenti a numerosi wallet di criptovalute, tra cui Exodus, Atomic Wallet, Electrum, oltre a configurazioni legate a Bitcoin, Ethereum e Monero. Nei sistemi Linux analizza anche i file virtuali presenti nella directory /proc, recuperando variabili d’ambiente e parametri dei processi in esecuzione, spesso utilizzati per memorizzare segreti e token di autenticazione.

Oracle E-Business Suite finisce nel mirino degli exploit

Parallelamente alle campagne contro SimpleHelp, ricercatori di sicurezza hanno osservato l’inizio dello sfruttamento della vulnerabilità CVE-2026-46817 che interessa Oracle E-Business Suite, in particolare il componente Oracle Payments File Transmission. Il difetto, classificato con punteggio CVSS 9.8, permette a un aggressore remoto non autenticato di compromettere completamente il sistema tramite semplici richieste HTTP, senza richiedere privilegi preliminari né particolari condizioni di sfruttamento.

La vulnerabilità era stata corretta da Oracle nel Critical Patch Update di maggio 2026, ma i primi tentativi di sfruttamento sono stati osservati durante il fine settimana precedente al 29 giugno su honeypot progettati per monitorare istanze Internet-facing di Oracle E-Business. Al momento delle rilevazioni non risultavano proof-of-concept pubbliche né exploit diffusi, suggerendo che gli aggressori possano aver sviluppato autonomamente codice di attacco a partire dall’analisi della patch.

Due campagne che confermano il valore delle piattaforme enterprise

Le due vulnerabilità dimostrano come piattaforme apparentemente molto diverse possano rappresentare bersagli di valore simile per gli attaccanti. SimpleHelp offre accesso privilegiato ai sistemi amministrati dagli MSP, mentre Oracle E-Business Suite gestisce processi finanziari e amministrativi critici all’interno di grandi organizzazioni. Compromettere uno di questi sistemi significa spesso ottenere un punto d’appoggio privilegiato all’interno dell’infrastruttura aziendale, facilitando movimenti laterali, distribuzione di malware e furto di dati sensibili. L’inserimento di CVE-2026-48558 nella KEV rappresenta un chiaro indicatore della gravità della minaccia, mentre i primi exploit osservati contro Oracle E-Business Suite confermano quanto rapidamente gli attaccanti siano in grado di trasformare vulnerabilità recentemente corrette in campagne operative. Per le organizzazioni che utilizzano entrambe le piattaforme diventa quindi essenziale verificare immediatamente lo stato delle patch, controllare eventuali indicatori di compromissione e monitorare con particolare attenzione i sistemi esposti su Internet, soprattutto quelli utilizzati per amministrazione remota o gestione dei processi finanziari aziendali.