Preventivo sconto multi-licenza
Database delle minacce Malware Backdoor FINALDRAFT

Backdoor FINALDRAFT

Entro Mezo nel Malware, Minaccia persistente avanzata (APT), Porte sul retro
Traduci in:

L'autore della minaccia comunemente noto come Jewelbug ha intensificato la sua attenzione sulle organizzazioni governative europee da luglio 2025, pur mantenendo operazioni attive contro obiettivi nel Sud-est asiatico e in Sud America. I ricercatori riconducono questo cluster di attività a Ink Dragon, un gruppo noto anche nella più ampia comunità della sicurezza come CL-STA-0049, Earth Alux e REF7707. Si ritiene che l'autore sia allineato con la Cina e abbia dimostrato un'attività sostenuta almeno da marzo 2023.

Identità multiple, un cluster coordinato

Le campagne di Ink Dragon riflettono una capacità di intrusione matura e disciplinata. I suoi operatori combinano solide competenze di ingegneria del software con strategie operative ripetibili, affidandosi spesso a utility di piattaforma integrate per integrare attività dannose in dati di telemetria aziendale legittimi. Questa deliberata strategia aumenta significativamente la furtività e complica il rilevamento.

Ambito, obiettivi e impatto continuo

La campagna è ancora attiva e ha già colpito diverse decine di vittime. Tra le organizzazioni colpite figurano agenzie governative e fornitori di servizi di telecomunicazioni in Europa, Asia e Africa. L'ampiezza delle vittime sottolinea sia la scalabilità dell'infrastruttura dell'autore del reato sia il suo interesse strategico per le reti ad alto valore.

Visibilità precoce e principali famiglie di malware

La conoscenza pubblica di Ink Dragon è emersa nel febbraio 2025, quando i ricercatori hanno documentato l'utilizzo della backdoor FINALDRAFT, nota anche come Squidoor. Questo malware supporta sia gli ambienti Windows che Linux. Più di recente, il gruppo è stato collegato a un'intrusione prolungata, durata cinque mesi, contro un fornitore di servizi IT russo, evidenziando la sua capacità di mantenere un accesso segreto a lungo termine.

Accesso iniziale e consegna del carico utile

Ink Dragon in genere ottiene l'accesso sfruttando applicazioni web vulnerabili e connesse a Internet. Queste vulnerabilità vengono sfruttate per implementare web shell, che fungono poi da punti di lancio per strumenti aggiuntivi come VARGEIT e Cobalt Strike. Questi payload supportano comunicazioni di comando e controllo, ricognizione interna, movimenti laterali, elusione delle difese e furto di dati.

Abuso di servizi cloud e legittimi

Tra le backdoor secondarie del gruppo c'è NANOREMOTE, che sfrutta l'API di Google Drive per scambiare file tra host infetti e infrastrutture controllate dagli aggressori. La selezione degli strumenti appare deliberata e situazionale, il che suggerisce che gli operatori adattino le distribuzioni all'ambiente della vittima e prediligano tecniche che assomiglino a modelli di traffico normali e affidabili.

Sfruttamento di ViewState e dirottamento dell’infrastruttura C2

Una tecnica distintiva nel playbook di Ink Dragon prevede lo sfruttamento di chiavi macchina ASP.NET deboli o mal gestite. Sfruttando le falle di deserializzazione di ViewState nei server IIS e SharePoint, l'aggressore installa un modulo ShadowPad IIS Listener personalizzato. Questo trasforma i server compromessi in componenti attivi della rete di comando e controllo dell'aggressore, consentendogli di inoltrare traffico e comandi e aumentando significativamente la resilienza.

Da violazione locale a rete di inoltro globale

Questa architettura consente di instradare il traffico non solo all'interno di una singola organizzazione, ma anche attraverso reti di vittime completamente separate. Di conseguenza, un server compromesso può silenziosamente fungere da intermediario in un'infrastruttura più ampia e multilivello. Il modulo listener stesso supporta l'esecuzione di comandi da remoto, offrendo agli operatori il controllo diretto per la ricognizione e lo staging del payload.

Tattiche di post-sfruttamento e di escalation dei privilegi

Oltre all'abuso di ViewState, Ink Dragon ha sfruttato le vulnerabilità di ToolShell SharePoint per distribuire web shell. Dopo la compromissione iniziale, l'aggressore in genere esegue diverse azioni per consolidare l'accesso e aumentare i privilegi:

  • Sfruttando le chiavi della macchina IIS per ottenere credenziali amministrative locali e spostarsi lateralmente tramite tunnel RDP
  • Stabilire la persistenza tramite attività pianificate e servizi dannosi
  • Dumping della memoria LSASS ed estrazione degli hive del registro per elevare i privilegi
  • Modifica delle regole del firewall host per consentire il traffico in uscita e convertire i sistemi in nodi relay ShadowPad

Riutilizzo avanzato delle credenziali e compromissione del dominio

In almeno un caso osservato, gli aggressori hanno identificato una sessione RDP disconnessa ma attiva appartenente a un amministratore di dominio autenticato tramite autenticazione a livello di rete con fallback NTLMv2. Poiché la sessione è rimasta disconnessa ma non terminata, il materiale delle credenziali sensibili è rimasto nella memoria LSASS. Dopo aver ottenuto l'accesso a livello di SISTEMA, Ink Dragon ha estratto il token e lo ha riutilizzato per eseguire operazioni SMB autenticate, scrivere su condivisioni amministrative ed esfiltrare NTDS.dit e hive del registro.

Un ecosistema di persistenza modulare

Invece di affidarsi a una singola backdoor, Ink Dragon impiega una serie di componenti specializzati per mantenere l'accesso a lungo termine. Gli strumenti osservati includono:

  • ShadowPad Loader per decrittografare ed eseguire il modulo core di ShadowPad in memoria
  • CDBLoader, che sfrutta il debugger della console di Microsoft per eseguire shellcode e caricare payload crittografati
  • LalsDumper per l'estrazione della memoria LSASS
  • 032Loader per la decrittografia e l'esecuzione di payload aggiuntivi
  • FINALDRAFT, uno strumento di amministrazione remota modernizzato che sfrutta Outlook e Microsoft Graph per il comando e il controllo

Evoluzione di FINALDRAFT

Il gruppo ha recentemente implementato una nuova variante di FINALDRAFT progettata per una maggiore furtività e un'esfiltrazione più rapida dei dati. Introduce metodi di evasione avanzati, supporta la distribuzione di payload in più fasi e consente movimenti laterali nascosti. I comandi vengono trasmessi come documenti codificati inseriti nella casella di posta della vittima, che l'impianto recupera, decifra ed esegue tramite un framework di comandi modulare.

Sovrapposizione con altri attori della minaccia

Gli investigatori hanno anche identificato tracce di un altro gruppo affiliato alla Cina, REF3927, noto anche come RudePanda, in diversi ambienti compromessi da Ink Dragon. Non ci sono prove di coordinamento tra i due e si ritiene che la sovrapposizione derivi dal fatto che entrambi gli attori sfruttano vettori di accesso iniziali simili piuttosto che condividere infrastrutture o operazioni.

Un nuovo modello di minaccia per i difensori

Ink Dragon sfuma la linea di demarcazione tradizionale tra host infetti e infrastruttura di comando. Ogni sistema compromesso diventa un nodo funzionale in una rete controllata dall'aggressore che si espande con ogni nuova vittima. Per chi si occupa della difesa, questo significa che il contenimento non può concentrarsi esclusivamente sui singoli sistemi. Un'interruzione efficace richiede l'identificazione e lo smantellamento dell'intera catena di relay. L'utilizzo di ShadowPad incentrato sui relay da parte di Ink Dragon rappresenta una delle implementazioni più mature osservate finora, trasformando di fatto le reti delle vittime stesse nella spina dorsale di campagne di spionaggio multi-organizzative a lungo termine.

Tendenza

I più visti

Caricamento in corso...