Incidenti e Violazioni

Operation Endgame abbatte SocGholish: 100 server offline e 15.000 siti risanati nell’operazione contro Evil Corp

Dario Fadda 19 Giugno 2026

Il 18 giugno 2026, un’operazione congiunta di forze dell’ordine internazionali ha sferrato un colpo devastante contro TA569, il gruppo cybercriminale noto per la distribuzione del malware SocGholish. L’Operazione Endgame ha abbattuto oltre 100 server e domini, sanificato quasi 15.000 siti web compromessi in tutto il mondo e — soprattutto — ha colpito un’infrastruttura criminale che per anni ha aperto le porte a ransomware come LockBit, WastedLocker e RansomHub.

Chi è TA569 e perché importa

Proofpoint segue TA569 dal 2018, anno in cui il gruppo ha iniziato a dominare la scena dei web inject, ovvero l’iniezione di codice malevolo in siti web legittimi per reindirizzare i visitatori verso payload pericolosi. Il modus operandi è ormai tristemente noto: la vittima visita un sito compromesso e si trova davanti a un pop-up che imita fedelmente una notifica del browser, chiedendola di aggiornare Chrome o Edge. Un clic sul pulsante di aggiornamento avvia il download di GhoLoader, il payload di primo stadio che — in ambienti Active Directory — può rapidamente evolvere in un attacco ransomware devastante.

Il gruppo è stato associato da più ricercatori a Evil Corp, il famigerato sodalizio cybercriminale russo i cui membri sono stati sanzionati più volte da governi occidentali (USA, UK, Australia). Il collegamento non è formale ma è suffragato da sovrapposizioni infrastrutturali, utilizzo degli stessi strumenti e partnership operative. I ransomware distribuiti attraverso la catena SocGholish includono WastedLocker (firmato Evil Corp), LockBit e — più recentemente — RansomHub.

L’architettura di SocGholish: TDS, fake plugin e proxy inverso

La catena di attacco di TA569 si articola in tre componenti distinte. Prima di tutto, il web inject: il gruppo compromette siti WordPress attraverso password spraying, credenziali riutilizzate, vulnerabilità in plugin abbandonati o zero-day in componenti CMS. Una volta dentro, installa plugin falsi che si nascondono dall’interfaccia di amministrazione e iniettano JavaScript offuscato nelle risposte HTTP del sito, che funge da proxy inverso verso l’infrastruttura TA569.

Il secondo componente è il Traffic Distribution System (TDS): TA569 utilizza sia ParrotTDS (di proprietà del gruppo) sia il servizio Keitaro gestito da TA2726, un altro threat actor. Il TDS filtra il traffico in base a paese, browser, sistema operativo e comportamento dell’utente prima di decidere quale payload consegnare. Questa variabilità rende la documentazione degli attacchi particolarmente complessa: lo stesso sito compromesso può consegnare SocGholish a un utente Windows negli USA, FrigidStealer a un Mac in Gran Bretagna, o nulla a un sistema di sicurezza automatizzato.

Il terzo componente è GhoLoader: quando la vittima supera tutti i controlli anti-bot e clicca sul pulsante di aggiornamento, un iframe nascosto caricato da un URI data: recupera lo script malevolo dal C2, costruisce il file client-side tramite URL.createObjectURL() e innesca il download. Il file scaricato (Google Launcher.js) è in realtà GhoLoader Stage 1 — uno script WSH JScript che comunica con il C2 tramite ActiveXObject('MSXML2.XMLHTTP'). Questa tecnica aggira i sandbox che si limitano a simulare un click sul pulsante, senza gestire la comunicazione cross-frame tramite postMessage.

Operation Endgame: la risposta internazionale

Il 18 giugno 2026, autorità di quattro paesi — Paesi Bassi (NHCTU), Canada (RCMP), Stati Uniti (FBI) e Germania (BKA), con il supporto di Europol — hanno eseguito un’azione coordinata contro l’infrastruttura di TA569. I risultati, comunicati ufficialmente dalla polizia olandese, sono notevoli:

  • Oltre 100 server e domini abbattuti a livello globale
  • 14.971 siti web compromessi identificati e risanati
  • Video di denuncia pubblica pubblicato sul sito di Operation Endgame
  • Proofpoint ha fornito intelligence tecnica alle autorità per supportare l’operazione

Non si tratta del primo capitolo di Operation Endgame: nel 2024 la stessa operazione aveva colpito loader come IcedID, Smokeloader e SystemHeuristicZ. Il fatto che TA569 sia ora nel mirino delle forze dell’ordine segna un’escalation significativa, dato che SocGholish è stato il vettore di distribuzione per alcune delle campagne ransomware più dannose degli ultimi anni.

Impatto e ripercussioni nell’ecosistema dei web inject

TA569 è stato il capostipite dei web inject malevoli, ma nel tempo ha ispirato un ecosistema di imitatori: ClearFake, ZPHP, ErrTraffic, LandUpdate808 (noto anche come KongTuke) e altri attori monitorati da Proofpoint continuano ad operare in modo indipendente. L’operazione di law enforcement colpirà direttamente TA569 ma non eliminerà il problema alla radice: TA2726, il fornitore TDS che serve anche altri threat actor, non sembra direttamente coinvolto nell’azione.

Proofpoint stima che l’operazione causerà interruzioni operative significative per TA569, incluse perdite finanziarie, danni reputazionali nei circuiti criminali e perdita di clienti ransomware. Tuttavia, come accaduto dopo precedenti disruption (LockBit, ALPHV), è probabile che parte del traffico di web inject migri verso altri attori già attivi.

Indicatori di Compromissione (IoC)

# Domini C2 TA569 osservati (maggio-giugno 2026)
platform[.]exathomeswebuyarizona[.]com   # Delivery SocGholish Stage 1
js-new[.]newtoyoygame[.]com             # C2 GhoLoader Stage 1

# File osservati
Google Launcher.js                       # GhoLoader Stage 1 (WSH JScript)

# Tecnica di delivery
blob:    # URL createObjectURL() per delivery senza traccia di rete
data:    # iframe nascosto per comunicazione cross-frame

# Threat actors correlati
TA569   # Evil Corp-linked, SocGholish operator
TA2726  # Keitaro TDS provider (continua a operare)
ParrotTDS  # TDS di proprietà TA569

Due righe per i difensori

Per i team di sicurezza, la mitigazione richiede un approccio stratificato. Sul fronte della difesa di rete, è consigliabile adottare il ruleset Emerging Threats e implementare protezioni endpoint capaci di rilevare l’esecuzione di script WSH/JScript. Gli utenti vanno formati a riconoscere i falsi aggiornamenti del browser — un pattern che non cambierà anche se TA569 verrà completamente smantellato, perché i copycats lo perpetueranno.

Per gli amministratori WordPress, le autorità hanno pubblicato linee guida specifiche: abilitare MFA sull’account amministratore, restringere l’accesso a /wp-admin tramite IP allowlisting, bloccare l’esecuzione di PHP nella directory uploads, mantenere aggiornati core, plugin e temi e monitorare l’integrità dei file con strumenti dedicati. Particolarmente importante è verificare la presenza di plugin sconosciuti o nascosti a livello di filesystem, che potrebbero sfuggire all’interfaccia di amministrazione.

💬 [[ unisciti alla discussione! ]]


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@insicurezzadigitale.com e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Operation Endgame abbatte SocGholish: 100 server offline e 15.000 siti risanati nell’operazione contro Evil Corp, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

[[ mastodon ]]

Su Mastodon mi trovi qui: Mastodon

:: i social ::

== forum community ==

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

~~ il network ~~

[[ le newsletter ]]