Vai al contenuto
Inizia
Open search

Incident responders, s'il vous plaît: gli inviti portano a strani eventi malware

Una campagna di phishing che ha preso di mira diverse organizzazioni ha portato all’installazione di strumenti RMM – ma, per ora, a poco altro. Si tratta di un malintenzionato che sta sperimentando o di un attacco “access-as-a-service” in corso?

Author placeholder
Author placeholder
Author placeholder
Author placeholder
Author placeholder

Scritto da Vidura Ehalapitiya, Frankie Franko, Marcus Jacobson, Pratik Gujar, Mallikarjuna Kanike

Incident responders
Threat ResearchSTAC6405infostealerRMMPhishing

I team di Managed Detection and Response (MDR) di Sophos hanno segnalato, alla fine dello scorso anno, una campagna di phishing che cercava di indurre gli utenti a installare LogMeIn Resolve (precedentemente GoToResolve), uno strumento di remote monitoring and management (RMM), per ottenere accesso remoto non presidiato. A seguito di ulteriori ricerche recenti, sono emersi alcuni aspetti interessanti di questa campagna.

In due dei casi osservati, il cybercriminale è andato oltre dopo aver ottenuto l’accesso iniziale, utilizzando installazioni preesistenti o nuove dello strumento RMM ScreenConnect per scaricare ulteriori file binari sui dispositivi compromessi: in un caso un infostealer, nell’altro un ulteriore strumento RMM legittimo.

Le prime evidenze di questa campagna risalgono ad aprile 2025, anche se la maggior parte dell’attività malevola sembra essersi concentrata tra ottobre e novembre 2025. Complessivamente, sono state identificate oltre 80 organizzazioni coinvolte, prevalentemente negli Stati Uniti e distribuite in diversi settori.

Durante l’analisi, è emerso che anche altri ricercatori avevano individuato una campagna apparentemente simile. La nostra indagine conferma e valida parte di questi risultati.

Al momento della stesura, alcuni dei link di phishing osservati durante l’indagine risultano ancora attivi, suggerendo che la campagna potrebbe essere tuttora in corso.

Sophos traccia questo cluster di attività come STAC6405.

Un invito speciale

In alcuni casi, gli utenti hanno ricevuto email di phishing inviate da account di posta elettronica di terze parti compromessi, appartenenti a mittenti noti e affidabili, indicando una possibile compromissione a catena. In altri casi, i mittenti erano sconosciuti ai destinatari.

Molte email erano costruite per sembrare inviti a eventi Punchbowl, con oggetti come “SPECIAL INVITATION”. Altre facevano riferimento a diversi tipi di “invito”, come la partecipazione a una gara d’appalto. I messaggi contenevano link a file binari ospitati su siti di distribuzione controllati dagli attaccanti.

Continua a leggere l’articolo: https://www.sophos.com/en-us/blog/incident-responders-s-il-vous-plait

About the authors

Author placeholder

Vidura Ehalapitiya

Author placeholder

Frankie Franko

Author placeholder

Marcus Jacobson

Author placeholder

Pratik Gujar

Author placeholder

Mallikarjuna Kanike