Image by DC Studio, from Freepik
Nuovo Gruppo di Hacker Scoperto a Nascondersi in Siti Web Legittimi
Tempo di lettura: 2 Min.
Ultimo aggiornamento: Aug 14, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
“Curly COMrades”, un gruppo di hacker con tattiche di spionaggio avanzate, sta prendendo di mira i governi e le compagnie energetiche dell’Europa orientale.
Sei di fretta? Ecco i fatti essenziali:
- I hacker rubano le password per continuare a infiltrarsi nei sistemi.
- Usano un backdoor speciale per rimanere nascosti sui computer.
- I dati rubati vengono inviati attraverso siti web reali ma hackerati.
Bitdefender Labs ha identificato un nuovo gruppo di hacker, i “Curly COMrades”, che si ritiene operi a sostegno degli interessi russi e che prende di mira le nazioni in fase di cambiamento politico. Dal metà del 2024, il gruppo ha attaccato gli organi giudiziari e governativi in Georgia e un’azienda energetica in Moldavia.
L’obiettivo principale degli hacker è di “mantenere un accesso a lungo termine alle reti bersaglio e rubare credenziali valide”. Hanno ripetutamente tentato di estrarre il database NTDS, che memorizza le password degli utenti Windows, e di scaricare la memoria LSASS per recuperare i dettagli di accesso, possibilmente in chiaro.
L’operazione “Curly COMrades” si basa sull’istituzione di robusti punti di accesso attraverso gli strumenti Resocks, SSH e Stunnel. Gli aggressori utilizzano MucorAgent come loro backdoor personalizzata, che nasconde il loro accesso dirottando i CLSIDs del Generatore di Immagini Native .NET di Windows. La natura imprevedibile di questo metodo di persistenza lo rende difficile da rilevare.
Gli aggressori nascondono le loro operazioni inviando dati rubati e comandi remoti attraverso siti web legittimi compromessi, mescolando il traffico malevolo con l’attività di rete tipica. Bitdefender afferma che “è molto probabile che quello che abbiamo osservato sia solo una piccola parte di una rete molto più ampia di infrastrutture web compromesse che controllano”.
La mancanza di prove sufficienti ha portato Bitdefender a evitare di collegare il gruppo a qualsiasi organizzazione di hacking conosciuta. I ricercatori hanno creato un nuovo nome basato su indicatori tecnici, inclusi l’uso di ‘curl.exe’ e il dirottamento dell”oggetto COM’, per evitare di glorificare le attività di cybercriminalità.
L’indagine è iniziata dopo che l’attività di un software proxy ha suscitato sospetti che hanno portato alla scoperta di un’operazione di spionaggio di ampia portata. I ricercatori considerano questo gruppo una grave minaccia per obiettivi politici e infrastrutturali di alto valore, data la sua tattica e persistenza.
Storia precedente
Ultimi articoli 
