Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

APT cinese hackera 12 Paesi con un solo bug di IVANTI VPN. Ecco come hanno fatto

Redazione RHC : 15 Aprile 2025 10:54

Per settimane, gli attaccanti sono riusciti a mantenere un accesso nascosto alle reti compromesse, sottraendo informazioni sensibili ed eludendo i sistemi di rilevamento grazie a un’infrastruttura di comando e controllo (C2) multistrato e all’impiego di strumenti avanzati per la cancellazione dei log.

Queste attività fanno parte di una campagna partita alla fine di marzo 2025, che sfrutta due vulnerabilità critiche – CVE-2025-0282 e CVE-2025-22457 – entrambe falle di tipo stack-based buffer overflow con un punteggio CVSS massimo di 9.0. Le falle sono state utilizzate per distribuire SPAWNCHIMERA, una suite malware modulare progettata per ottenere accesso remoto e persistente ai dispositivi compromessi.

Secondo un rapporto diffuso da TeamT5 dietro l’attacco ci sarebbe un gruppo APT legato agli interessi statali cinesi, che ha colpito organizzazioni attive in 12 paesi e in 20 settori industriali, sfruttando le falle nei dispositivi Ivanti Connect Secure VPN.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Il gruppo APT, valutato anche da Mandiant e monitorato come UNC5221 e legato agli interessi dello stato cinese, ha sfruttato le vulnerabilità di Ivanti per ottenere l’esecuzione di codice remoto non autenticato (RCE).

    Una volta all’interno, gli aggressori hanno implementato SPAWNCHIMERA, un ecosistema malware modulare progettato specificamente per le appliance Ivanti. I componenti chiave includono:

    • SPAWNANT : un programma di installazione stealth che aggira i controlli di integrità;
    • SPAWNMOLE : un proxy SOCKS5 per il tunneling del traffico;
    • SPAWNSNAIL : una backdoor SSH per l’accesso persistente;
    • SPAWNSLOTH : uno strumento di cancellazione dei registri per eliminare le prove forensi.

    La capacità di patching dinamico del malware consente di modificare i componenti Ivanti vulnerabili nella memoria, garantendone lo sfruttamento continuo anche dopo l’applicazione delle patch.

    Gli analisti della sicurezza di Rapid7 hanno confermato la sfruttabilità delle vulnerabilità, osservando che CVE-2025-22457 inizialmente si presentava come un bug di negazione del servizio a basso rischio, ma è stato successivamente stato sfruttato come una potente RCE. TeamT5 esorta le organizzazioni interessate a:

    1. Applicare immediatamente le patch della versione 22.7R2.5 di Ivanti;
    2. Eseguire analisi forensi complete della rete per identificare malware dormienti;
    3. Reimposta i dispositivi VPN e revoca le credenziali esposte durante le violazioni.

    La campagna sottolinea i rischi persistenti dei dispositivi edge di rete non aggiornati, in particolare i gateway VPN. Poiché gli APT cinesi prendono sempre più di mira i sistemi legacy, il CISA ha imposto alle agenzie federali di correggere le vulnerabilità di Ivanti entro il 15 gennaio 2025, una scadenza che molti hanno mancato, aggravando la crisi.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari

    Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...

    Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$

    Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...

    L’Operazione Endgame Continua: colpo duro ai clienti della botnet Smokeloader. Scattano gli arresti

    A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che&...

    Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025

    I ricercatori della PCAutomotive hanno evidenziato diverse vulnerabilità nel veicolo elettrico Nissan Leaf. Gli esperti hanno dimostrato che i bug potrebbero essere utilizzati per l...

    Il Comune di Grosseto finisce su Breach Forums. 13GB in possesso dei criminali informatici?

    Poche ore fa, all’interno del famoso forum underground Breach Forums, un post da parte dell’utente “sentap” ha riportato la potenziale violazione dei dati dal Comune di Gro...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006