Smascherare un affiliato: SmokedHam, Qilin, alcuni annunci Google e un po’ di bossware

SOC Prime Team

Segui

Smascherare un affiliato: SmokedHam, Qilin, alcuni annunci Google e un po’ di bossware

Detection stack

AIDR
Alert
ETL
Query

Rapporto
Flusso di Attacco
Rilevamenti
Simulazioni

Riepilogo

Orange Cyberdefense ha riportato che, all’inizio del 2026, un affiliato ransomware ha distribuito il backdoor SmokedHam tramite annunci malevoli spacciati per software di utilità legittimi. In almeno un’irruzione confermata, il backdoor è stato successivamente utilizzato per distribuire il ransomware Qilin. I ricercatori hanno attribuito l’attività con moderata fiducia all’affiliato di lingua russa UNC2465, un attore di minacce precedentemente associato alle operazioni di DarkSide, LockBit e Hunters International.

Indagine

L’indagine ha esaminato più di 30 campioni di SmokedHam raccolti durante il 2025 e il 2026, identificando domini di malvertising che si affidavano a Cloudflare Workers per il domain fronting insieme a un’infrastruttura ospitata su AWS. Gli analisti hanno inoltre documentato l’abuso di strumenti legittimi come PuTTY e Total Commander per aiutare l’attività malevola a confondersi nelle normali operazioni amministrative. Il rapporto ha inoltre evidenziato sovrapposizioni tattiche con attività precedentemente collegate a UNC2465.

Mitigazione

I difensori dovrebbero bloccare i domini di malvertising noti, imporre un’application allow-listing per strumenti come RVTools e Remote Desktop Manager e monitorare l’uso insolito di utility amministrative legittime. La copertura per il rilevamento degli endpoint dovrebbe essere potenziata per identificare il comportamento del backdoor SmokedHam e le attività correlate post-compromissione. L’uso di feed di intelligence sulle minacce basati sul cloud può migliorare ulteriormente gli sforzi di rilevamento e arricchimento.

Risposta

Se viene identificata un’attività sospetta, isolare immediatamente l’host interessato, raccogliere artefatti forensi e cercare indicatori associati sia a SmokedHam che a Qilin. Gli investigatori dovrebbero inoltre determinare se sia già avvenuto un furto di credenziali o una crittografia ransomware. Si raccomanda un threat hunting più ampio attraverso infrastrutture correlate, insieme all’attivazione di procedure stabilite di risposta agli incidenti ransomware.

graph TB classDef action fill:#99ccff classDef malware fill:#ff6666 classDef tool fill:#cccccc classDef service fill:#ffd966 classDef impact fill:#ff9999 action_initial[“Azione – T1659 Iniezione di contenuto (Malvertising) Installer malevolo mascherato da RVTools/Remote Desktop Manager”] class action_initial action action_user_exec[“Azione – T1204 Esecuzione dell’utente La vittima esegue l’installer mascherato”] class action_user_exec action malware_smokedham[“Malware – T1127 Esecuzione proxy di utility sviluppatore attendibili Backdoor SmokedHam installata”] class malware_smokedham malware action_embedded_payload[“Azione – T1027.009 Payload incorporati Payload SmokedHam offuscato all’interno di un’utilità legittima”] class action_embedded_payload action action_polymorphic[“Azione – T1027.014 Codice polimorfico La variante usa packing e mutazione del codice”] class action_polymorphic action action_rat[“Azione – T1219 Strumenti di accesso remoto SmokedHam stabilisce C2 usando strumenti legittimi”] class action_rat action tool_putty[“Strumento – PuTTY Client SSH utilizzato per C2”] class tool_putty tool tool_kitty[“Strumento – KiTTY Variante di client SSH”] class tool_kitty tool tool_zoho[“Strumento – Zoho Assist Strumento di supporto remoto utilizzato per C2”] class tool_zoho tool action_c2_comm[“Azione – T1102.001/002/003 Comunicazione C2 tramite Cloudflare Workers e AWS”] class action_c2_comm action service_cloudflare[“Servizio – Cloudflare Workers”] class service_cloudflare service service_aws[“Servizio – AWS”] class service_aws service action_tunnel[“Azione – T1572 Tunneling di protocollo Traffico incanalato tramite servizi legittimi”] class action_tunnel action action_ssh_hijack[“Azione – T1563.001 Hijacking di sessione servizio remoto (SSH) Hijacking tramite credenziali rubate”] class action_ssh_hijack action action_rdp_hijack[“Azione – T1563.002 Hijacking di sessione servizio remoto (RDP) Hijacking di sessioni RDP”] class action_rdp_hijack action action_exploit_remote[“Azione – T1210 Sfruttamento di servizi remoti Movimento laterale verso host interni”] class action_exploit_remote action action_input_capture[“Azione – T1056.003 Cattura input Cattura delle credenziali del portale web”] class action_input_capture action action_account_manip[“Azione – T1098.004 Manipolazione account Aggiunte chiavi SSH per persistenza”] class action_account_manip action malware_qilin[“Malware – Ransomware Qilin Crittografa i dati della vittima”] class malware_qilin impact action_initial –>|leads_to| action_user_exec action_user_exec –>|leads_to| malware_smokedham malware_smokedham –>|leads_to| action_embedded_payload action_embedded_payload –>|leads_to| action_polymorphic action_polymorphic –>|leads_to| action_rat action_rat –>|uses| tool_putty action_rat –>|uses| tool_kitty action_rat –>|uses| tool_zoho action_rat –>|communicates via| action_c2_comm action_c2_comm –>|uses| service_cloudflare action_c2_comm –>|uses| service_aws action_c2_comm –>|enables| action_tunnel action_tunnel –>|enables| action_ssh_hijack action_ssh_hijack –>|enables| action_rdp_hijack action_rdp_hijack –>|enables| action_exploit_remote action_exploit_remote –>|enables| action_input_capture action_input_capture –>|enables| action_account_manip action_account_manip –>|enables| malware_qilin

Flusso di Attacco

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis