Categorie
Sicurezza Informatica

Gruppo XE sfrutta vulnerabilità zero-day: salto di qualità evidente

Il gruppo XE evolve dalle operazioni di skimming di carte di credito allo sfruttamento di vulnerabilità zero-day, mettendo a rischio aziende e infrastrutture critiche.

gruppo XE
gruppo XE

Negli ultimi anni, il panorama delle minacce informatiche ha visto l’emergere di gruppi sempre più sofisticati, capaci di adattarsi rapidamente e di sfruttare vulnerabilità sconosciute per compromettere sistemi e rubare informazioni sensibili. Uno di questi attori è il gruppo XE, attivo dal 2013, noto inizialmente per operazioni di skimming di carte di credito e, più recentemente, per l’uso di exploit zero-day.

Un’analisi approfondita condotta da Intezer e Solis Security ha rivelato le tattiche evolutive di questo gruppo, evidenziando una transizione significativa verso tecniche più avanzate e mirate. XE è passato dall’attacco a sistemi di pagamento a una strategia più sofisticata che sfrutta vulnerabilità zero-day, ossia falle di sicurezza non ancora note pubblicamente, per attaccare infrastrutture critiche e aziende.

Il cambiamento nel modus operandi di XE evidenzia l’evoluzione del cybercrimine: non si tratta più di attacchi di massa rivolti a utenti generici, ma di operazioni mirate, studiate nei minimi dettagli per massimizzare l’impatto e ridurre il rischio di rilevamento.

Dallo skimming agli exploit zero-day: la trasformazione del gruppo XE

Il gruppo XE ha iniziato la sua attività come un’organizzazione criminale focalizzata sul furto di dati delle carte di credito. Gli attaccanti inserivano codice malevolo nei siti di e-commerce per intercettare le informazioni di pagamento degli utenti, una tecnica nota come skimming. Questa strategia, già utilizzata da gruppi come Magecart, ha permesso a XE di generare profitti consistenti per anni.

Tuttavia, a partire dal 2024, le attività del gruppo hanno subito una trasformazione radicale. XE ha iniziato a sfruttare vulnerabilità zero-day per compromettere sistemi informatici complessi, suggerendo un aumento delle loro capacità tecniche e l’accesso a exploit sofisticati.

Secondo il report di Intezer, il gruppo XE ha utilizzato exploit zero-day per compromettere infrastrutture di aziende nel settore tecnologico, manifatturiero e della logistica. Questo suggerisce che gli obiettivi del gruppo non siano più solo finanziari, ma includano anche il furto di proprietà intellettuale e dati aziendali sensibili.

Le vulnerabilità zero-day sfruttate dal gruppo XE

L’indagine ha identificato due vulnerabilità zero-day utilizzate dal gruppo XE per compromettere i sistemi delle loro vittime:

  • CVE-2024-57968: una vulnerabilità di validazione dell’upload con un punteggio CVSS di 9.9. Questa falla permette agli attaccanti di caricare file malevoli senza adeguati controlli di sicurezza, aprendo la porta all’esecuzione remota di codice e alla compromissione del sistema bersaglio.
  • CVE-2025-25181: una vulnerabilità di SQL injection con un punteggio CVSS di 5.8. Questa falla consente agli attaccanti di eseguire comandi SQL arbitrari, ottenendo accesso ai database aziendali e potenzialmente esfiltrando dati sensibili.

L’utilizzo di exploit zero-day rappresenta un significativo passo avanti nelle capacità offensive del gruppo XE.

Persistenza e attacchi alla supply chain: le nuove strategie di XE

Uno degli aspetti più preoccupanti emersi dall’analisi di Intezer è la capacità del gruppo XE di mantenere la persistenza all’interno dei sistemi compromessi per lunghi periodi.

Un altro elemento chiave delle nuove tattiche del gruppo XE è l’attacco alle supply chain. XE ha iniziato a compromettere i fornitori di aziende target per ottenere accesso indiretto a reti più grandi e protette.

Annunci

Gli attacchi alla supply chain sono difficili da rilevare perché sfruttano la fiducia tra aziende e fornitori. Una volta compromesso un partner commerciale, gli attaccanti possono muoversi lateralmente all’interno della rete aziendale, spesso senza essere notati per mesi.

Implicazioni per la sicurezza informatica e contromisure

L’evoluzione del gruppo XE rappresenta una minaccia significativa per le aziende e le infrastrutture critiche.

Per proteggersi da attacchi di questo tipo, le aziende devono adottare un approccio di sicurezza multilivello che includa:

  • Patch management: aggiornare regolarmente i sistemi per ridurre il rischio di exploit zero-day una volta rese pubbliche le vulnerabilità.
  • Monitoraggio delle anomalie: utilizzare sistemi di rilevamento delle intrusioni (IDS) per identificare comportamenti sospetti all’interno della rete.
  • Controllo degli accessi: implementare il principio del privilegio minimo per limitare il numero di utenti con accesso ai dati sensibili.
  • Segmentazione della rete: isolare i sistemi critici per impedire la propagazione degli attacchi una volta che una macchina viene compromessa.
  • Formazione del personale: sensibilizzare i dipendenti sui rischi legati alla sicurezza informatica per ridurre il rischio di phishing e social engineering.

Con l’aumento della sofisticazione degli attacchi, la sicurezza informatica non può più essere considerata un semplice aspetto tecnico, ma deve diventare una priorità strategica per le aziende di ogni settore.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version