Server Dedicati per Operazioni Offensive: Acquire Infrastructure – Server (T1583.004)

La simulazione di questa tecnica in un engagement red team non richiede di acquistare server con Bitcoin come farebbe un APT reale, ma di replicare il modello operativo: infrastruttura dedicata, segmentata per ruolo, acquistata in modo da ridurre la correlazione tra i nodi.

Il primo passo è scegliere un provider cloud che accetti registrazioni con requisiti minimi. Molti provider offrono trial gratuiti con credito iniziale sufficiente per un'operazione di poche settimane. In laboratorio, un approccio comune è provisioning automatico tramite Terraform (open source) per creare istanze effimere su più provider, garantendo che ogni server abbia un ruolo distinto — esattamente come documentato per Earth Lusca, che assegnava ad ogni server una funzione specifica.

Per la configurazione del server C2, i framework più usati in ambito red team sono Sliver (open source) e Cobalt Strike (a pagamento). Una catena di setup realistico potrebbe essere:

apt update && apt install -y golang git

Seguita dal clone e dalla build di Sliver dal suo repository ufficiale GitHub. Una volta compilato, il listener si configura direttamente dalla console interattiva del framework, scegliendo protocolli come HTTPS o mTLS.

Per emulare il pattern di Mustard Tempest — server di staging per payload di secondo stadio attivi per periodi variabili — è utile configurare un web server minimale con caddy (open source) o nginx (open source), impostando un cron job che disattivi il servizio dopo un periodo predefinito:

echo "systemctl stop nginx" | at now + 72 hours

Per replicare l'anonimizzazione dei pagamenti vista in Kimsuky (valute virtuali) e nell'Operation Wocao (Bitcoin), in ambiente lab si possono documentare le procedure senza effettuare transazioni reali, annotando nel report la catena di OPSEC che un avversario seguirebbe.

Un aspetto spesso trascurato è il fingerprinting del server. Dopo il deploy, verificate come appare il vostro nodo dall'esterno usando Shodan CLI (freemium) o Censys (freemium):

shodan host <indirizzo-IP-del-server>

Questo restituisce banner, porte aperte, certificati TLS e servizi esposti — le stesse informazioni che un difensore potrebbe usare per identificarvi. Se il profilo è troppo riconoscibile, hardening e personalizzazione dei banner sono il passo successivo.

Partiamo da un dato di realtà: la detection diretta di questa tecnica è definita esplicitamente come difficile, perché l'attività avviene fuori dal perimetro aziendale. Non vedrete mai un log che dice "l'avversario ha comprato un server". Quello che potete fare è intercettare il momento in cui quel server entra in contatto con la vostra rete.

La detection indiretta si gioca su tre fronti. Il primo è il monitoraggio delle connessioni verso infrastruttura sospetta. Quando un server acquisito dall'attaccante viene usato per C2, il traffico in uscita dalla vostra rete presenterà pattern riconoscibili: connessioni periodiche verso IP con poca o nessuna storia reputazionale, certificati TLS self-signed o emessi da Let's Encrypt su domini appena registrati, e server con profili di risposta anomali.

I log DNS sono la fonte più preziosa. Configurate il vostro SIEM — che sia Splunk (a pagamento), Microsoft Sentinel (a pagamento) o Elastic Security (freemium) — per correlare le query DNS verso domini con registrazione recente (meno di 30 giorni) con connessioni HTTPS successive verso gli stessi endpoint. Un alert su questo pattern ha un buon rapporto segnale-rumore se escludete i domini CDN noti e i servizi SaaS aziendali dalla whitelist.

Il secondo fronte è l'analisi dei certificati. I servizi di Certificate Transparency come crt.sh (gratuito) possono essere interrogati periodicamente per individuare certificati emessi su domini che imitano il vostro brand. Questo tipo di monitoraggio proattivo copre scenari di phishing e watering hole ospitati su server dedicati.

Il terzo fronte riguarda gli Internet Scan, esplicitamente citati come log source rilevante. Piattaforme come Shodan Monitor (freemium) e Censys (freemium) permettono di configurare alert quando nuovi server compaiono con caratteristiche specifiche — ad esempio, porte e combinazioni di servizi tipiche di framework C2 noti. Servizi di threat intelligence come Recorded Future (a pagamento) o MISP (open source) aggregano questi indicatori e li correlano con infrastruttura nota di gruppi APT.

Per la gestione dei falsi positivi, il consiglio pratico è di non basarsi su un singolo indicatore. Un IP giovane da solo non è sufficiente; combinate età del dominio, entropia del nome, geolocalizzazione insolita e pattern di traffico beaconing prima di escalare. La soglia di beaconing — connessioni a intervalli regolari con jitter minimo — è il discriminante più affidabile tra navigazione legittima e C2.

L'analisi forense di questa tecnica si concentra quasi interamente su fonti esterne e sugli artefatti che il server dell'avversario lascia sull'endpoint della vittima una volta che l'infrastruttura viene impiegata operativamente.

Il punto di partenza è la ricostruzione dell'infrastruttura avversaria. Strumenti di passive DNS come DomainTools (a pagamento) o il servizio PassiveTotal di RiskIQ (a pagamento, ora parte di Microsoft Defender Threat Intelligence) permettono di risalire alla storia di risoluzione di un dominio o IP sospetto. Cercate la prima data di risoluzione: se coincide con un periodo prossimo all'incidente, avete un indicatore temporale forte.

I record WHOIS storici — accessibili tramite DomainTools o servizi analoghi — possono rivelare dettagli sulla registrazione. Nel caso di Kimsuky, l'uso di carte prepagate e valute virtuali rende l'attribuzione più complessa, ma i metadati del provider di hosting restano disponibili. Per l'Operation Wocao, la traccia Bitcoin potrebbe essere ricostruita attraverso blockchain explorer, anche se questo esula dalla forensics tradizionale.

Sull'endpoint, gli artefatti da cercare sono quelli generati dall'interazione con il server avversario. I log del browser (file di storia in SQLite per Chrome e Firefox) registrano eventuali redirect verso server di watering hole. La cache DNS locale del sistema operativo può contenere risoluzioni verso domini C2:

Get-DnsClientCache | Where-Object {$_.Entry -notlike ".microsoft.com"} | Export-Csv dns_cache.csv*

I log di connessione di Windows — in particolare gli eventi Sysmon EventID 3 (Network Connection) se Sysmon (open source, Microsoft) è installato — tracciano ogni connessione in uscita con processo sorgente, IP e porta di destinazione. Filtrate per connessioni verso IP non categorizzati nei feed di threat intelligence aziendali.

Per la ricostruzione della timeline, correlate la prima connessione verso l'IP/dominio sospetto con i log proxy, i log firewall e gli artefatti di esecuzione. La sequenza tipica è: risoluzione DNS anomala → connessione HTTPS verso server C2 → download di payload → esecuzione locale. Ogni passaggio lascia tracce in fonti diverse, e la coerenza temporale tra queste fonti è ciò che trasforma indicatori isolati in una narrativa forense solida.

Se l'infrastruttura avversaria utilizzava certificati TLS, i log di connessione TLS (disponibili in proxy come Squid o in soluzioni di network monitoring come Zeek, open source) registrano il certificato presentato, incluso il serial number e l'issuer. Confrontate questi dati con i log di Certificate Transparency per stabilire quando il certificato è stato emesso.

Sei gruppi APT documentati su questa tecnica offrono un panorama geograficamente diversificato e tatticamente istruttivo. L'acquisizione di server propri non è prerogativa di un singolo teatro operativo: attraversa campagne di spionaggio, sabotaggio e cybercrime con motivazioni eterogenee.

Sandworm Team (G0034) adotta un approccio indiretto, noleggiando server tramite rivenditori anziché direttamente dai provider di hosting. Questa scelta di OPSEC aggiunge un livello di separazione tra l'operatore e l'infrastruttura, rendendo più difficile l'attribuzione tramite record di pagamento o contratti commerciali. È un pattern tipico di attori statali con risorse sufficienti a gestire catene di approvvigionamento complesse.

GALLIUM (G0093) mostra un pattern geografico distintivo: l'utilizzo di server basati a Taiwan come infrastruttura apparentemente esclusiva. Questa scelta potrebbe riflettere sia una vicinanza logistica sia un tentativo di mimetizzarsi nel traffico regionale dei bersagli. Earth Lusca (G1006) segmenta la propria infrastruttura assegnando un ruolo distinto a ciascun server — una pratica che complica significativamente il lavoro di correlazione per l'analista TI, perché compromettere un nodo non espone l'intera operazione.

Sul fronte dell'anonimizzazione finanziaria, Kimsuky (G0094) utilizza valute virtuali e carte prepagate per l'acquisto di hosting, mentre l'Operation Wocao (C0014) — attribuita ad attori probabilmente cinesi con sovrapposizioni con APT20 — documenta esplicitamente l'uso di Bitcoin. Questo trend verso pagamenti non tracciabili è ormai consolidato e rappresenta un indicatore OPSEC maturo.

Le campagne arricchiscono il quadro. L'Operation Dream Job (C0022), attribuita a Lazarus Group, ha acquisito server per ospitare tool malevoli nell'ambito di operazioni contro i settori difesa, aerospaziale e governativo tra il 2019 e il 2020. La Night Dragon (C0002), attiva tra il 2009 e il 2011 contro il settore energetico, acquistava servizi di hosting per il C2 — dimostrando che questa tecnica è stabile nel tempo. L'Operation Honeybee (C0006) è interessante per l'uso di account gratuiti per server di controllo, un approccio a costo zero che abbassa la barriera d'ingresso.

Mustard Tempest (G1020) offre un modello operativo diverso: server di staging per payload con durata variabile — giorni, settimane o mesi — suggerendo un'infrastruttura rotativa calibrata sulla campagna in corso. Questo pattern di rotazione è un indicatore utile: se il vostro feed di threat intelligence mostra IP che compaiono e scompaiono con cicli regolari, potrebbe trattarsi di questo modello.

Per il profiling predittivo, la convergenza di più gruppi verso server dedicati (anziché VPS o server compromessi) segnala una preferenza per il controllo totale sull'infrastruttura, accettando costi maggiori in cambio di affidabilità e anonimato.

Framework MITRE ATT&CK: T1583.004, TA0042. Campagne: C0022 (Operation Dream Job), C0014 (Operation Wocao), C0002 (Night Dragon), C0006 (Operation Honeybee). Gruppi: G0093, G0094, G0034, G1006, G1020, G1012. Mitigazione: M1056. Tool di detection: Shodan, Censys, Zeek, Sysmon, MISP, Recorded Future. Integrato con conoscenza professionale per tool e procedure operative.