Nel 2025 un gruppo di minaccia noto come UNC4899 è stato collegato a una compromissione avanzata contro una organizzazione del settore criptovalute con l’obiettivo di sottrarre milioni in asset digitali. La campagna è interessante perché combina social engineering, trasferimenti peer-to-peer tra dispositivi personali e aziendali e un successivo passaggio al cloud con tecniche living off the cloud, sfruttando strumenti e flussi DevOps legittimi invece di malware rumoroso.

La catena di attacco inizia dal dispositivo personale di uno sviluppatore. Gli attaccanti lo convincono a scaricare un archivio presentato come parte di una collaborazione su un progetto open source. Il file viene poi trasferito sul computer di lavoro tramite AirDrop, un passaggio che evidenzia quanto i ponti tra ambiente personale e aziendale possano diventare un vettore di ingresso. Una volta aperto il contenuto, lo sviluppatore finisce per eseguire codice Python malevolo che avvia un binario camuffato da strumento kubectl, cioè il client a riga di comando di Kubernetes. Da qui il binario contatta un dominio controllato dagli attaccanti e funziona come backdoor, creando un canale di accesso persistente al sistema aziendale.

Ottenuto un punto di appoggio, l’attore passa alla fase di pivot verso Google Cloud sfruttando sessioni già autenticate e credenziali disponibili, quindi avvia ricognizione su progetti e servizi. Un passaggio chiave riguarda la scoperta di un bastion host e la modifica di attributi legati alla policy MFA per abilitarne l’accesso. In seguito vengono esplorati pod specifici nel cluster Kubernetes e viene impostata persistenza alterando configurazioni di deployment per eseguire automaticamente comandi bash alla creazione di nuovi pod, con download di ulteriori backdoor.

Gli attaccanti modificano risorse Kubernetes collegate a piattaforme CI/CD per iniettare comandi che espongono token di service account nei log. Con un token ad alti privilegi ottengono escalation, movimento laterale e accesso a pod sensibili in modalità privilegiata, fino a evadere dal container. Vengono poi recuperate credenziali statiche di database conservate in modo non sicuro nelle variabili ambiente, usate tramite Cloud SQL Auth Proxy per eseguire comandi SQL e manipolare account, inclusi reset password e aggiornamento dei seed MFA su profili di alto valore, finalizzando prelievi illeciti di criptovalute.

Sul piano difensivo: priorità per cloud e Kubernetes

• Limitare o disabilitare AirDrop e condivisioni P2P su endpoint aziendali.
• Adottare MFA resistente al phishing e accesso contestuale.
• Applicare gestione sicura dei segreti (evitare credenziali statiche in variabili ambiente e log).
• Ridurre l’uso di container privilegiati e rafforzare le policy di esecuzione.
• Controllare le immagini deployate e la supply chain CI/CD.
• Monitorare processi anomali nei container e i comportamenti “living off the cloud”.
• Isolare nodi compromessi da connessioni esterne e contenere la lateralità.