SOC Prime Bias: Alto

17 Apr 2026 14:27 UTC

Smascherare un affiliato: SmokedHam, Qilin, alcuni annunci Google e un po’ di bossware

Author Photo
SOC Prime Team linkedin icon Segui
Smascherare un affiliato: SmokedHam, Qilin, alcuni annunci Google e un po’ di bossware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Orange Cyberdefense ha riportato che, all’inizio del 2026, un affiliato ransomware ha distribuito il backdoor SmokedHam tramite annunci malevoli spacciati per software di utilità legittimi. In almeno un’irruzione confermata, il backdoor è stato successivamente utilizzato per distribuire il ransomware Qilin. I ricercatori hanno attribuito l’attività con moderata fiducia all’affiliato di lingua russa UNC2465, un attore di minacce precedentemente associato alle operazioni di DarkSide, LockBit e Hunters International.

Indagine

L’indagine ha esaminato più di 30 campioni di SmokedHam raccolti durante il 2025 e il 2026, identificando domini di malvertising che si affidavano a Cloudflare Workers per il domain fronting insieme a un’infrastruttura ospitata su AWS. Gli analisti hanno inoltre documentato l’abuso di strumenti legittimi come PuTTY e Total Commander per aiutare l’attività malevola a confondersi nelle normali operazioni amministrative. Il rapporto ha inoltre evidenziato sovrapposizioni tattiche con attività precedentemente collegate a UNC2465.

Mitigazione

I difensori dovrebbero bloccare i domini di malvertising noti, imporre un’application allow-listing per strumenti come RVTools e Remote Desktop Manager e monitorare l’uso insolito di utility amministrative legittime. La copertura per il rilevamento degli endpoint dovrebbe essere potenziata per identificare il comportamento del backdoor SmokedHam e le attività correlate post-compromissione. L’uso di feed di intelligence sulle minacce basati sul cloud può migliorare ulteriormente gli sforzi di rilevamento e arricchimento.

Risposta

Se viene identificata un’attività sospetta, isolare immediatamente l’host interessato, raccogliere artefatti forensi e cercare indicatori associati sia a SmokedHam che a Qilin. Gli investigatori dovrebbero inoltre determinare se sia già avvenuto un furto di credenziali o una crittografia ransomware. Si raccomanda un threat hunting più ampio attraverso infrastrutture correlate, insieme all’attivazione di procedure stabilite di risposta agli incidenti ransomware.

Flusso di Attacco

Simulazione

Stiamo ancora aggiornando questa parte. Iscriviti per ricevere notifiche

Notificami