cavern manticore framework c2 iran

Cavern Manticore, il framework C2 iraniano contro governo e IT israeliani

🛡️ Executive Summary

  • Cavern Manticore compromette provider IT e abusa di software RMM e aggiornamenti SysAid per raggiungere organizzazioni governative e tecnologiche israeliane.
  • Il framework usa agenti e moduli .NET separati per ricognizione, accesso ai database, enumerazione Active Directory, esfiltrazione e tunneling SOCKS5.
  • Il rilevamento richiede monitoraggio di DLL sideloading, header HTTP anomali, domini C2, mutex caratteristici e attività insolite degli strumenti di assistenza remota.

Un nuovo framework di comando e controllo attribuito all’ecosistema offensivo iraniano sta colpendo organizzazioni governative e aziende IT israeliane attraverso supply chain compromesse, software di gestione remota e componenti malware modulari. Denominato Cavern Manticore, il sistema utilizza diversi formati .NET, caricamento dinamico dei moduli e tecniche anti-forensi per sostenere operazioni prolungate di spionaggio. Le sovrapposizioni tecniche riconducono l’attività all’area di MuddyWater, Lyceum e OilRig, gruppi storicamente associati al Ministero dell’Intelligence e della Sicurezza iraniano. La campagna mostra come provider IT e strumenti amministrativi legittimi restino vettori privilegiati per penetrare simultaneamente più organizzazioni.

Cavern Manticore sfrutta la fiducia riposta nei provider IT

Annuncio

La catena operativa attribuita a Cavern Manticore non parte necessariamente da una vulnerabilità esposta direttamente sull’infrastruttura della vittima finale. Gli aggressori puntano invece ai provider di servizi informatici, alle piattaforme di assistenza e agli strumenti utilizzati per amministrare sistemi distribuiti, trasformando una relazione di fiducia in un percorso d’accesso verso enti governativi e imprese israeliane. Una volta compromesso un fornitore, gli operatori possono sfruttarne credenziali, console e canali di aggiornamento per raggiungere più clienti senza dover violare separatamente ogni perimetro. È una strategia coerente con l’attività già osservata quando MuddyWater ha utilizzato il software RMM Atera nelle proprie campagne, combinando phishing, strumenti legittimi di accesso remoto e payload successivi.

image 351
 I moduli Cavern eludono i motori malware.

Cavern Manticore applica la stessa logica a una piattaforma più articolata: l’accesso iniziale può essere ottenuto abusando delle funzionalità di aggiornamento di SysAid, mentre i software di Remote Monitoring and Management permettono agli aggressori di eseguire comandi, distribuire file e muoversi attraverso reti già amministrate dal provider compromesso. Questo approccio riduce la visibilità dell’intrusione perché numerose attività malevole transitano attraverso applicazioni consentite, firmate o comunemente utilizzate dal personale tecnico. La concentrazione su organizzazioni israeliane colloca la campagna nel più ampio confronto cibernetico tra Iran e Israele, intensificato durante le fasi di maggiore tensione militare e politica nella regione. L’attribuzione deve comunque essere interpretata come una valutazione basata su infrastrutture, codice, procedure operative e precedenti sovrapposizioni, non come una prova derivante da un singolo indicatore.

Un agente centrale orchestra moduli .NET caricati su richiesta

L’elemento distintivo del framework è l’architettura modulare. Il componente principale viene distribuito con il nome uxtheme.dll e opera come agente, backdoor e orchestratore delle attività post-compromissione. Non incorpora necessariamente tutte le funzioni offensive in un unico file, ma stabilisce il contatto con il server C2, riceve istruzioni e carica soltanto i moduli richiesti per l’operazione in corso. Questa scelta riduce l’impronta statica del malware e limita la quantità di codice esposta durante una singola fase dell’attacco. I componenti risultano compilati in tre formati differenti: .NET Framework, Mixed-Mode C++/CLI e .NET 8 NativeAOT.

image 352
Catena di esecuzione Cavern Manticor.

Per gli analisti, la combinazione rappresenta un ostacolo concreto perché ogni formato richiede strumenti e tecniche di reverse engineering differenti. Il codice gestito tradizionale può essere decompilato con relativa facilità, mentre i binari NativeAOT presentano strutture più vicine al codice nativo e rendono meno immediata la ricostruzione delle classi, dei metodi e delle chiamate di sistema. La presenza di componenti C++/CLI aggiunge un ulteriore livello ibrido tra runtime gestito e istruzioni native. Il modello ricorda l’evoluzione osservata in altri strumenti dell’ecosistema iraniano, compreso PhonyC2 sviluppato nell’ambito delle operazioni MuddyWater, ma Cavern Manticore amplia la separazione tra agente, trasporto e funzioni operative. Il framework può così essere aggiornato selettivamente, sostituendo un singolo modulo senza distribuire nuovamente l’intero impianto malevolo.

SysAid e DLL sideloading trasformano software legittimo in un vettore

La fase di esecuzione sfrutta un meccanismo di DLL sideloading, tecnica che induce un programma legittimo a caricare una libreria malevola collocata nella stessa directory o in un percorso ricercato con priorità. Nel caso osservato, gli aggressori distribuiscono attraverso SysAid un pacchetto contenente l’eseguibile legittimo WinDirStat.exe e la DLL malevola denominata uxtheme.dll. Quando il programma viene avviato, Windows risolve la dipendenza caricando la libreria predisposta dagli attaccanti al posto di quella attesa. L’esecuzione appare così associata a un processo conosciuto, mentre il codice ostile eredita il contesto del programma autorizzato. Dopo l’avvio, l’agente esegue una pulizia dei file temporanei, mantiene soltanto i componenti indispensabili e stabilisce un ciclo di polling verso l’infrastruttura di comando. Il framework supporta l’auto-aggiornamento dell’agente e dei moduli attraverso un sistema di versioning, consentendo agli operatori di distribuire revisioni del codice senza ripetere l’intera compromissione. La persistenza non dipende quindi esclusivamente da una chiave di registro o da un servizio facilmente identificabile, ma dalla combinazione tra software legittimo, file caricati lateralmente e accesso remoto mantenuto attraverso strumenti amministrativi. Una configurazione difensiva efficace deve controllare non soltanto i nuovi eseguibili, ma anche le librerie caricate da programmi attendibili, le directory da cui provengono e l’eventuale divergenza tra firma del processo principale e provenienza delle DLL. Particolare attenzione va riservata agli aggiornamenti distribuiti da console RMM e piattaforme help desk, soprattutto quando generano file inattesi nelle cartelle di programmi amministrativi.

Ricognizione e movimento laterale coprono Active Directory, SMB e SQL

I moduli caricati da Cavern Manticore forniscono agli operatori un insieme completo di capacità per comprendere la rete compromessa e trasformare un primo accesso in una presenza estesa. Il componente di ricognizione può enumerare interfacce, risolvere nomi DNS, eseguire ping, analizzare connessioni attive e identificare condivisioni SMB. La possibilità di effettuare tentativi di autenticazione contro servizi SMB permette di verificare credenziali raccolte o combinazioni predisposte dagli aggressori, aumentando il rischio di propagazione verso server e postazioni interne. Un modulo separato interroga LDAP per enumerare utenti, gruppi, computer e strutture di Active Directory, offrendo agli operatori una mappa dell’ambiente aziendale e dei possibili account privilegiati. Le ricerche possono essere configurate con ritardi specifici, tecnica utile per ridurre picchi di traffico e aggirare controlli basati sulla frequenza delle richieste. Il modulo dedicato ai database esegue query SQL ed esporta risultati utilizzando credenziali trasmesse mediante header personalizzati, mentre il componente file permette copia, spostamento, eliminazione e compressione GZip dei dati raccolti. Per il movimento laterale e l’uscita dei dati, Cavern Manticore può creare tunnel SOCKS5 e connessioni WebSocket, trasformando un host compromesso in un nodo di inoltro verso sistemi non direttamente raggiungibili da Internet. Questa combinazione consente agli aggressori di utilizzare la rete della vittima come infrastruttura operativa, instradando traffico attraverso endpoint considerati affidabili. L’impiego di strumenti remoti legittimi segue una pratica già documentata nell’attività di MuddyWater contro sistemi esposti tramite SimpleHelp, dove il controllo del software di supporto permette di mantenere accessi persistenti senza installare immediatamente malware facilmente classificabile.

AppDomain isolati e NativeAOT ostacolano analisi e risposta agli incidenti

Le capacità anti-analisi non dipendono da una singola tecnica di offuscamento. Ogni modulo può essere eseguito all’interno di un AppDomain separato, un ambiente isolato del runtime .NET che viene scaricato al termine dell’attività. Questo permette all’agente di liberare memoria e ridurre la permanenza di oggetti, assembly e riferimenti utili all’analisi forense. Nei componenti nativi, le chiamate P/Invoke possono essere nascoste nei descrittori del runtime invece di comparire chiaramente nella tabella delle importazioni PE, complicando il riconoscimento automatico delle API utilizzate. La compilazione NativeAOT riduce inoltre la presenza delle strutture tipiche degli assembly .NET tradizionali, limitando l’efficacia degli strumenti che si affidano a metadata, namespace e nomi dei metodi. I moduli seguono convenzioni di denominazione come n-HTCommp.dll, mhm.dll, db.dll, ode.dll, n-ten.dll e n-sws.dll, ma l’uso di nomi apparentemente ordinari può confondere l’analisi iniziale. L’agente esegue operazioni di pulizia all’avvio, cancella componenti non più necessari e può sostituire dinamicamente versioni precedenti. Il risultato è un framework che lascia meno artefatti permanenti rispetto a una backdoor monolitica e rende più difficile stabilire quali funzionalità siano state effettivamente utilizzate su un sistema. La risposta agli incidenti deve quindi includere acquisizioni tempestive della memoria, ricostruzione delle attività di caricamento degli assembly, analisi della telemetria EDR e correlazione con le operazioni eseguite dalle piattaforme RMM. Limitarsi alla ricerca dei file su disco rischia di non rilevare moduli già scaricati dalla memoria o rimossi dopo l’esecuzione.

Da Cav3rn a Cavern Manticore cresce la flessibilità offensiva

Cavern Manticore rappresenta l’evoluzione di un precedente framework denominato Cav3rn, caratterizzato da una DLL più monolitica e da un meccanismo di trasporto che sfruttava immagini PNG per nascondere le comunicazioni. La nuova piattaforma abbandona la concentrazione delle funzioni in un singolo componente e adotta HTTPS e WebSocket come canali principali, protocolli più facili da confondere con il traffico applicativo ordinario. La modularità consente agli operatori di adattare l’arsenale al bersaglio: un’organizzazione può ricevere soltanto i componenti per LDAP e SQL, mentre un’altra può essere utilizzata come nodo di tunneling o punto di raccolta dei file. Questa flessibilità riduce l’esposizione del codice, semplifica la manutenzione e permette di introdurre nuove funzioni senza modificare il nucleo dell’agente. Le sovrapposizioni con MuddyWater, Lyceum e OilRig rafforzano l’attribuzione all’ecosistema legato al Ministero dell’Intelligence iraniano, ma mostrano anche quanto siano diventati permeabili i confini tra cluster nominalmente distinti. Matrice Digitale aveva già ricostruito l’attività di Lyceum contro settore energetico e provider Internet, evidenziando la centralità delle infrastrutture IT e delle telecomunicazioni nella selezione dei bersagli. Cavern Manticore applica questa impostazione a una piattaforma post-exploitation più moderna, progettata per restare operativa anche quando singoli componenti vengono rilevati o rimossi.

Indicatori tecnici e comportamenti da monitorare nelle reti

Gli indicatori noti comprendono i nomi delle DLL, mutex contenenti stringhe come MYMUTEX123HELLP, domini riconducibili a varianti di hospitalinstallation.com e infrastrutture precedentemente associate a adserviceupdate.com. Il traffico C2 può includere un User-Agent fisso, l’header personalizzato X-User-token, dati codificati in Base64 e contenuti protetti attraverso una cifratura XOR con chiave costante. Nessuno di questi elementi deve essere utilizzato isolatamente: domini, file e header possono essere sostituiti rapidamente, mentre alcuni nomi potrebbero generare falsi positivi. Le organizzazioni dovrebbero concentrarsi sulla correlazione comportamentale tra aggiornamenti SysAid, esecuzione di WinDirStat da directory anomale, caricamento locale di uxtheme.dll, connessioni WebSocket non previste, polling regolare verso domini esterni ed enumerazioni LDAP o SMB avviate da endpoint amministrativi. È necessario verificare gli account associati alle piattaforme RMM, applicare autenticazione multifattore, limitare l’accesso alle console per indirizzo e ruolo e registrare ogni distribuzione remota di pacchetti. La segmentazione tra provider, sistemi di gestione e reti dei clienti riduce l’effetto di una compromissione della supply chain. Cavern Manticore conferma che l’attività iraniana non si limita alla creazione di singoli malware, ma investe nella costruzione di framework riutilizzabili, aggiornabili e capaci di sfruttare la stessa infrastruttura legittima con cui le organizzazioni amministrano quotidianamente i propri sistemi.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto