Negli ultimi mesi è stata rilevata una nuova campagna di attacchi informatici che sfrutta vulnerabilità zero-day nei dispositivi Ivanti Connect Secure (ICS), portando all’installazione del malware MDifyLoader e all’esecuzione in memoria di Cobalt Strike. Questi attacchi, osservati tra dicembre 2024 e luglio 2025, hanno sfruttato le falle di sicurezza identificate come CVE-2025-0282 e CVE-2025-22457, entrambe già oggetto di patch da parte di Ivanti, ma inizialmente utilizzate come zero-day.

Vulnerabilità sfruttate

La vulnerabilità CVE-2025-0282 consente l’esecuzione di codice remoto non autenticato e rappresenta una minaccia critica, mentre CVE-2025-22457 riguarda un overflow del buffer nello stack, sfruttabile per eseguire codice arbitrario sul sistema preso di mira. Gli attaccanti hanno impiegato queste debolezze per introdurre MDifyLoader, un loader basato su tecnologia open source (libPeConv), che carica un file cifrato in grado di decodificare ed eseguire in memoria il payload Cobalt Strike Beacon, versione 4.5, noto strumento di post-exploitation.

Tecniche di attacco utilizzate

Le tecniche di attacco osservate includono il DLL side-loading, un metodo che sfrutta DLL malevole per caricare codice dannoso tramite programmi apparentemente legittimi. In particolare, anche strumenti come Fscan (utility di scansione di rete open source) e VShell (strumento di accesso remoto sviluppato in Go) sono stati utilizzati dagli attaccanti, spesso con loader personalizzati e meccanismi per eludere le difese tradizionali. Interessante notare che VShell verifica la lingua del sistema per essere eseguito solo su macchine configurate in cinese, indizio della possibile origine degli attaccanti o di una funzione lasciata attiva per errore.

Movimento laterale e persistenza

Dopo aver compromesso i dispositivi Ivanti, gli operatori malevoli hanno eseguito attacchi brute-force contro server FTP, MS-SQL e SSH all’interno della rete aziendale, sfruttando inoltre l’exploit EternalBlue (MS17-010) per muoversi lateralmente tra i sistemi. Sono state create nuove utenze di dominio e aggiunte a gruppi esistenti, con l’obiettivo di garantirsi accesso persistente anche in caso di revoca delle credenziali precedentemente raccolte.

Per mantenere la persistenza, i malware sono stati registrati come servizi o task scheduler, assicurandone l’avvio automatico ad ogni riavvio o in risposta ad eventi specifici. Questo schema d’attacco dimostra come le vulnerabilità zero-day, in particolare su dispositivi di accesso remoto come Ivanti ICS, rappresentino una minaccia concreta per le infrastrutture aziendali, sottolineando l’importanza di aggiornamenti tempestivi e di una difesa stratificata contro tecniche avanzate di malware e post-exploitation.