Una recente vulnerabilità critica nel software Triofox, identificata come CVE-2025-12480, ha esposto numerose aziende a rischi di compromissione da parte di attori malevoli. Questa falla di sicurezza, con un punteggio CVSS di 9.1, permette agli hacker di aggirare l'autenticazione e accedere alle pagine di configurazione del sistema, consentendo così il caricamento e l'esecuzione di payload arbitrari. La piattaforma Triofox, utilizzata per la condivisione di file e l'accesso remoto, è stata già oggetto di altre due vulnerabilità sfruttate attivamente nel corso dell'anno.

Analisi dell’attacco

Secondo l'analisi di Mandiant, la vulnerabilità è stata sfruttata da un gruppo di minaccia identificato come UNC6485 a partire da agosto 2025, nonostante le patch fossero già disponibili da quasi un mese. Gli attaccanti hanno approfittato dell'accesso non autenticato per creare un nuovo account amministratore denominato Cluster Admin, utilizzando il processo di setup di Triofox. Attraverso questo account, sono stati in grado di accedere alle funzionalità avanzate della piattaforma e proseguire con ulteriori azioni malevole.

Sfruttamento della funzione antivirus

Uno degli aspetti più insidiosi dell’attacco riguarda l’utilizzo della funzione antivirus integrata in Triofox. Gli hacker hanno sfruttato la possibilità di configurare un percorso arbitrario per lo scanner antivirus, puntando tale percorso a uno script dannoso. Questa operazione ha permesso l’esecuzione di codice con privilegi elevati, poiché il processo ereditava i permessi del sistema operativo.

Strumenti e tecniche utilizzate

Nel dettaglio, è stato caricato uno script batch chiamato centre_report.bat, il quale ha scaricato e installato soluzioni di gestione remota come Zoho Assist e AnyDesk sulla macchina compromessa. Grazie a questi strumenti, gli aggressori hanno potuto effettuare attività di ricognizione, tentativi di escalation dei privilegi tramite modifica delle password e aggiunta di account ai gruppi di amministratori locali e di dominio.

Per eludere i controlli di sicurezza, gli attaccanti hanno anche scaricato utility come Plink e PuTTY, configurando tunnel SSH criptati verso server di comando e controllo, e abilitando il traffico RDP in ingresso. Il fine ultimo della campagna rimane incerto, ma la metodologia evidenzia un livello di sofisticazione crescente nelle strategie di attacco legate alle vulnerabilità software.

Raccomandazioni

Si raccomanda vivamente agli utenti di Triofox di aggiornare immediatamente il software all’ultima versione disponibile, verificare gli account amministrativi presenti e controllare che la funzione antivirus non sia configurata per eseguire script o binari non autorizzati. Un’azione tempestiva di patch management e monitoraggio degli account privilegiati resta la migliore difesa contro questa tipologia di minacce.