Negli ultimi mesi la cybersicurezza ha osservato un'evoluzione significativa nelle modalità con cui i criminali informatici monetizzano le infrastrutture compromesse, superando i classici attacchi botnet. Una delle minacce più rilevanti riguarda lo sfruttamento della vulnerabilità CVE-2024-36401, che affligge GeoServer GeoTools, con un punteggio di gravità CVSS di 9.8. Questa falla, attiva dal 2024, consente l’esecuzione di codice remoto su server GeoServer esposti su internet. I criminali informatici hanno usato tale vulnerabilità non solo per lanciare malware classici, ma soprattutto per installare SDK e applicazioni apparentemente legittime che sfruttano passivamente la banda della vittima, trasformando i dispositivi in proxy residenziali o strumenti per ottenere ricavi tramite il network sharing, senza destare sospetti.

Distribuzione e strategie degli attaccanti

Secondo i ricercatori, sono stati individuati oltre 7.100 GeoServer pubblicamente accessibili in 99 paesi, con una forte presenza in Cina, Stati Uniti, Germania, Regno Unito e Singapore. Gli attaccanti, invece di puntare su campagne rumorose e facilmente rilevabili, preferiscono strategie stealth di lungo termine per un guadagno continuativo e poco appariscente. La monetizzazione avviene sfruttando servizi di passive income e lasciando che le applicazioni compromesse lavorino silenziosamente in background, condividendo la banda internet in modo invisibile per l’utente.

Espansione delle botnet IoT avanzate

Parallelamente, la ricerca ha evidenziato l’espansione di botnet IoT avanzate come PolarEdge, che sfruttano vulnerabilità note in dispositivi di rete come router, firewall, telecamere IP e telefoni VoIP. PolarEdge si distingue per l’uso di backdoor TLS personalizzate, che permettono il comando cifrato e l’aggiornamento dinamico dell’infrastruttura malevola. Oltre il 70% delle infezioni è stato riscontrato in Corea del Sud, Stati Uniti, Hong Kong, Svezia e Canada. Queste botnet agiscono come ORB (Operational Relay Box), relay compromessi che inoltrano traffico per altre attività criminali mantenendo il dispositivo funzionale e difficile da rilevare.

Nuove campagne e adattamento dei malware

Inoltre, campagne come gayfemboy, basate su varianti Mirai, dimostrano la capacità di adattamento degli attori malevoli, colpendo architetture diverse (ARM, MIPS, PowerPC, Intel) e settori come manifatturiero, tecnologico, media e comunicazione. Queste minacce includono strumenti avanzati di persistenza, evasione sandbox e funzioni per eseguire DDoS, monitoraggio dei processi e auto-terminazione in presenza di analisi forense.

Attacchi ai server Redis e cryptojacking

Infine, l’attenzione si sposta anche sui server Redis esposti, sfruttati per campagne di cryptojacking che installano miner, modificano strumenti di sistema per nascondere i processi malevoli e bloccano la porta Redis per impedire accessi concorrenti. Questo scenario mostra una rapida evoluzione del cybercrime, che punta sempre di più su monetizzazione discreta e tecniche di evasione avanzate.