A partire dall’8 ottobre 2025, i sensori di GreyNoise hanno iniziato a captare i primi sussurri di quello che si sarebbe rapidamente trasformato in un coro assordante: un’operazione botnet coordinata che ha mobilitato un esercito di oltre 100.000 indirizzi IP unici, sparsi in più di 100 nazioni, tutti concentrati su un unico obiettivo: i servizi Remote Desktop Protocol (RDP) negli Stati Uniti.
Non si è trattato del solito rumore di fondo di Internet, del caotico e prevedibile scanning di massa. Questa campagna aveva le impronte digitali di un’unica entità, un predatore con molte teste. L’attività osservata si concentra su due vettori d’attacco specifici e sofisticati: attacchi di tipo “timing” contro Microsoft RD Web Access per sfruttare l’autenticazione anonima e tentativi di enumerazione degli accessi sul client web RDP. Due tecniche distinte, ma eseguite con una sinchronicità che tradisce un controllo centralizzato.
L’indizio più rivelatore è emerso dall’analisi delle impronte TCP. Quasi tutto il traffico generato da questa vasta rete condivideva un’identità tecnica quasi identica, un profilo di client coerente che accomunava IP dal Brasile, dall’Argentina, dall’Iran, dalla Cina, dal Messico, dalla Russia, dal Sud Africa e dall’Ecuador. L’unico parametro che fluttuava era l’MSS (Maximum Segment Size), un dettaglio che suggerisce come il botnet sia composto da cluster di dispositivi compromessi con configurazioni di rete leggermente diverse, ma tutti che eseguono lo stesso identico codice malevolo sotto il comando degli stessi burattinai.
La scoperta è avvenuta in modo quasi serendipitoso. Gli analisti hanno notato un picco insolito, un’improvvisa ondata di attività proveniente dallo spazio IP brasiliano. Inizialmente poteva sembrare un evento locale, ma allargando la visuale è emerso un modello ripetuto e inquietante: picchi simultanei in dozzine di paesi, tutti che iniziavano nello stesso periodo, tutti che mostravano la stessa firma tecnica e tutti che prendevano di mira la stessa porzione di cyberspazio: l’infrastuttura RDP statunitense.
I grafici temporali raccontano una storia di coordinazione quasi militare. Linee che rappresentano nazioni diverse, da parti opposte del globo, che si impennano insieme come un’unica onda anomala digitale. Questo non è il lavoro di attori indipendenti che casualmente decidono di fare la stessa cosa nello stesso momento; è il risultato di un singolo comando inviato a una legione di dispositivi zombie.
Questa offensiva sottolinea una tendenza evolutiva nel panorama delle minacce: i botnet non sono più solo strumenti per il mining di criptovaluta o per lanciare attacchi DDoS. Sono diventati piattaforme di intelligence flessibili e pervasive, in grado di essere riproposte all’istante per campagne di reconnaissance mirate e su larga scala. La battaglia per la sicurezza si gioca sempre di più non solo nel proteggere le vulnerabilità, ma nel comprendere le intenzioni e i pattern dietro il traffico che bussa alle nostre porte digitali. E in questo caso, il pattern è chiaro, coordinato e globale.