Un caso investigato dagli analisti di The DFIR Report all’inizio del 2025 è l’esempio perfetto della tendenza criminale a fare re-brand e accorpamenti: un’intrusione che mostrava le impronte digitali di tre grandi attori del ransomware contemporaneamente. Un’operazione in cui l’affiliato, un mercenario del cybercrime, ha utilizzato un mix di strumenti e tecniche associati a Play, RansomHub e DragonForce, confondendo le acque e dimostrando una fluidità operativa preoccupante.
Tutto è iniziato nel modo più classico: un dipendente ha scaricato ed eseguito quello che credeva essere EarthTime, un’innocua applicazione per visualizzare i fusi orari della software house DeskSoft. In realtà, il file eseguibile era un trojan firmato digitalmente con un certificato revocato di “Brave Pragmatic Network Technology Co., Ltd.”, una entità nota per aver firmato malware in passato.
L’esecuzione ha innescato una catena di eventi sofisticata. Il processo EarthTime.exe ha generato un cmd.exe, che a sua volta ha avviato MSBuild.exe, il tool di compilazione legittimo di Microsoft. Questo è un classico meccanismo di evasione: iniettare il payload malevolo in un processo bianco e firmato. Il payload era SectopRAT (noto anche come ArechClient2), un remote access trojan .NET con spiccate capacità di information stealing.
Il RAT non contattava direttamente il suo C2, ma recuperava la configurazione da Pastebin, un dettaglio che descrive un’operazione ben pianificata. Una volta configurato, il malware stabiliva una comunicazione persistente con l’IP 45.141.87.55 sulle porte 9000 e 15647, un’infrastruttura già nota agli analisti di threat intelligence per ospitare SectopRAT.
Ma il vero obiettivo andava ben oltre il singolo endpoint. Il threat actor ha rapidamente messo le mani su un tool più potente: SystemBC. Questo malware, nascosto in una DLL battezzata WakeWordEngine.dll (e rinominata conhost.dll sul controller di dominio), funge da proxy SOCKS5 e permette di tunnelare il traffico di rete. È il grimaldello perfetto per muoversi lateralmente senza essere visto, trasformando una macchina compromessa in un ponte per il resto della rete.
Sfruttando SystemBC, l’attaccante ha iniziato a esplorare l’ambiente. Ha creato un account locale amministrativo di nome “Admon” con la password comodamente debole “Qwerty12345!”, e ha usato PsExec con il flag -s per eseguire comandi con privilegi SYSTEM. Il movimento laterale è avvenuto principalmente tramite RDP, connessioni che partivano da workstation con nomi come “DESKTOP-A1HRTMJ” e “WIN-FLGU1CC210K”, probabilmente macchine compromesse a loro volta e controllate dall’attaccante.
L’arsenale del threat actor era ricco e variegato. Per la ricognizione della rete ha utilizzato SoftPerfect NetScan, uno scanner di porte legittimo ma piegato a scopi malevoli, configurato per testare anche i permessi di scrittura sulle share di rete. Ma il vero indizio che ha iniziato a confondere le acque è stato il ritrovamento di un file di output di NetScan il cui nome corrispondeva a un’azienda che, secondo i dati OSINT, era stata vittima di DragonForce ransomware e il cui nome era comparso sul loro data leak site. Una svista opsec che ha rivelato un possibile collegamento.
Poi, è comparsa la firma di Play ransomware: Grixba. Gli analisti hanno trovato due versioni di questo tool di reconnaissance personalizzato, GT_NET.exe e GRB_NET.exe. Questi strumenti, che utilizzano WMI e WinRM per enumerare utenti, computer e software installato, sono un marchio di fabbrica del gruppo Play. Per mascherare l’eseguibile, il threat actor aveva addirittura contraffatto i metadati per farlo apparire come un prodotto di SentinelOne, con tanto di nome falso “SentinelOne Endpoint Protection” e copyright “Sentinel Labs, Inc.”.
L’attore ha poi condotto un attacco DCSync per rubare gli hash delle password del dominio e ha persino estratto le credenziali dal database di Veeam Backup & Replication usando uno script PowerShell appositamente crafted che sfruttava le DLL di Veeam per decifrare le password archiviate.
Il giorno sei dell’intrusione, il panorama è cambiato di nuovo. SectopRAT ha rilasciato un nuovo payload: ccs.exe. L’eseguibile, che si fingeva un componente di Avast Antivirus (“aswAvBootTimeScanShMin.exe”), è in realtà il backdoor Betruger, uno strumento multifunzione strettamente associato agli affiliati di RansomHub. Betruger è un coltellino svizzero: fa screenshot, keylogging, esfiltra file, e raccoglie credenziali. Una volta eseguito, ha tentato di iniettarsi nella memoria di 172 processi diversi e ha iniziato a scavare nel processo LSASS.
La campagna di esfiltrazione è stata condotta con strumenti da manuale: WinRAR e WinSCP. L’attaccante ha archiviato meticolosamente directory contenenti documenti aziendali sensibili (non ha trascurato di dare un’occhiata a una polizza assicurativa contro i cyber attacchi con WordPad) e poi li ha trasferiti su un server FTP hosted da un cloud provider statunitense. La beffa? L’ha fatto in chiaro, tramite FTP non cifrato, permettendo agli analisti di intercettare le credenziali di accesso durante l’analisi del traffico.
Questa intrusione è un ritratto esemplare dello stato del cybercrime moderno. Non si tratta più di gang rigidamente separate, ma di un ecosistema fluido dove gli affiliati, veri e propri mercenari, noleggiano i loro servizi a più cartelli contemporaneamente o riutilizzano strumenti e accessi a seconda della convenienza. La commistione di SectopRAT per l’accesso iniziale, SystemBC per il tunneling, Grixba (Play), Betruger (RansomHub) e il legame con una vittima di DragonForce dipinge il quadro di un attore che opera trasversalmente.