Smascherare un affiliato: SmokedHam, Qilin, alcuni annunci Google e un po’ di bossware
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Orange Cyberdefense ha riportato che, all’inizio del 2026, un affiliato ransomware ha distribuito il backdoor SmokedHam tramite annunci malevoli spacciati per software di utilità legittimi. In almeno un’irruzione confermata, il backdoor è stato successivamente utilizzato per distribuire il ransomware Qilin. I ricercatori hanno attribuito l’attività con moderata fiducia all’affiliato di lingua russa UNC2465, un attore di minacce precedentemente associato alle operazioni di DarkSide, LockBit e Hunters International.
Indagine
L’indagine ha esaminato più di 30 campioni di SmokedHam raccolti durante il 2025 e il 2026, identificando domini di malvertising che si affidavano a Cloudflare Workers per il domain fronting insieme a un’infrastruttura ospitata su AWS. Gli analisti hanno inoltre documentato l’abuso di strumenti legittimi come PuTTY e Total Commander per aiutare l’attività malevola a confondersi nelle normali operazioni amministrative. Il rapporto ha inoltre evidenziato sovrapposizioni tattiche con attività precedentemente collegate a UNC2465.
Mitigazione
I difensori dovrebbero bloccare i domini di malvertising noti, imporre un’application allow-listing per strumenti come RVTools e Remote Desktop Manager e monitorare l’uso insolito di utility amministrative legittime. La copertura per il rilevamento degli endpoint dovrebbe essere potenziata per identificare il comportamento del backdoor SmokedHam e le attività correlate post-compromissione. L’uso di feed di intelligence sulle minacce basati sul cloud può migliorare ulteriormente gli sforzi di rilevamento e arricchimento.
Risposta
Se viene identificata un’attività sospetta, isolare immediatamente l’host interessato, raccogliere artefatti forensi e cercare indicatori associati sia a SmokedHam che a Qilin. Gli investigatori dovrebbero inoltre determinare se sia già avvenuto un furto di credenziali o una crittografia ransomware. Si raccomanda un threat hunting più ampio attraverso infrastrutture correlate, insieme all’attivazione di procedure stabilite di risposta agli incidenti ransomware.
Flusso di Attacco
Rilevamenti
Possibili Punti di Persistenza [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Possibile Compressione dei Dati per Infiltrazione o Esfiltrazione (via cmdline)
Visualizza
Esecuzione Sospetta di GPG (via cmdline)
Visualizza
Stringhe Powershell Sospette (via powershell)
Visualizza
Chiama Metodi .NET Sospetti da Powershell (via powershell)
Visualizza
Tentativo di Abuso Pubblico Ethereum come Canale C2 (via dns_query)
Visualizza
Possibile Infiltrazione / Esfiltrazione / C2 di Dati tramite Servizi / Strumenti di Terzi (via proxy)
Visualizza
Possibile Infiltrazione / Esfiltrazione / C2 di Dati tramite Servizi / Strumenti di Terzi (via dns)
Visualizza