VPS come Arma: Virtual Private Server (T1583.003)

Simulare l'acquisizione di VPS in un red team engagement non significa semplicemente noleggiare un server: significa costruire un'infrastruttura effimera, difficile da attribuire e pronta a supportare le fasi successive della catena d'attacco. L'obiettivo dell'esercizio è testare la capacità del Blue Team di identificare connessioni verso infrastruttura cloud sospetta e correlare artefatti distribuiti su più provider.

Setup dell'infrastruttura lab-safe. Parti da un provider che supporti provisioning via API — DigitalOcean, Linode (ora Akamai Connected Cloud) o Vultr sono opzioni comuni a pagamento. L'automazione è la chiave: Terraform (open source) consente di dichiarare l'infrastruttura come codice e di distruggerla con un singolo comando al termine dell'esercizio.

terraform init && terraform apply -auto-approve

Il file di configurazione .tf definirà regione, immagine OS e regole firewall del VPS. Per simulare il pattern di rotazione rapida osservato nelle campagne reali, inserisci un terraform destroy schedulato via cron o tramite pipeline CI/CD, così che il server viva solo poche ore.

Relay e C2 multi-hop. Una volta attivo il VPS, configura un redirector per il traffico C2. Con socat (open source) puoi creare un relay TCP trasparente:

socat TCP-LISTEN:443,fork TCP:<indirizzo-teamserver>:443

Questo schema a due nodi — VPS pubblico come redirector, team server nascosto — rispecchia l'architettura documentata nelle campagne FLORAHOX Activity (C0053) e KV Botnet Activity (C0035), dove i VPS fungevano da nodi di controllo per reti ORB (Operational Relay Box).

Fingerprint evasion. I Blue Team cercano certificati TLS anomali e banner di servizi riconducibili a framework C2. Per aumentare il realismo dell'esercizio, genera un certificato Let's Encrypt valido tramite certbot (open source) e configura NGINX come reverse proxy con header coerenti a un sito web legittimo.

Checklist di validazione red team:

• Provisioning automatizzato e riproducibile (Terraform o Pulumi)
• Certificato TLS valido con dominio registrato per l'engagement
• Redirector separato dal team server
• Logging locale per documentare ogni azione (obbligo deontologico)
• Piano di teardown con timeline definita

Infine, per verificare come il VPS appaia dall'esterno, interroga Shodan (freemium) o Censys (freemium) sul tuo stesso IP: se il banner del C2 framework è visibile, la configurazione non supera il test di realismo.

La sfida è limpida: l'acquisizione del VPS avviene fuori dal perimetro, quindi la detection si sposta necessariamente al momento in cui quell'infrastruttura interagisce con l'ambiente protetto. Il focus è sul traffico in uscita, sulla reputazione delle destinazioni e sull'anomalia comportamentale.

Log source critici. I firewall perimetrali e i proxy web sono la prima linea: ogni connessione verso range IP di hosting cloud va arricchita con threat intelligence contestuale. Le piattaforme di Threat Intelligence come MISP (open source) o Anomali ThreatStream (a pagamento) permettono di correlare indicatori di compromissione legati a VPS noti. Anche i log DNS sono fondamentali, perché molti impianti C2 risolvono domini che puntano a VPS appena provisionati, con record A dalla vita brevissima.

Il flusso di detection più efficace parte dai log NetFlow o dai metadati di connessione: cerca sessioni di lunga durata (beaconing) verso IP appartenenti ad ASN di hosting, piuttosto che verso CDN o servizi SaaS noti. Strumenti come Zeek (open source) generano log conn.log ideali per questa analisi, dove puoi filtrare per durata, byte trasferiti e intervalli regolari tra connessioni.

Indicatori da monitorare:

• Connessioni outbound verso ASN classificati come "hosting/VPS" (liste come quelle di IPinfo, freemium) con pattern di beaconing regolare
• Certificati TLS self-signed o emessi da CA gratuite su IP senza hostname coerente
• Risoluzione DNS verso domini registrati da meno di 30 giorni che puntano a IP di provider VPS
• Traffico verso porte non standard (es. 8443, 8080) su IP cloud senza giustificazione applicativa

Gestione dei falsi positivi. Qui sta il nodo operativo: moltissimi servizi legittimi girano su VPS. La whitelist deve essere dinamica e basata sull'inventario applicativo aziendale. Se il team DevOps usa DigitalOcean per ambienti di staging, quegli IP vanno esclusi — ma con revisione periodica, perché un IP rilasciato può essere riassegnato a un attaccante. L'approccio più robusto prevede di mantenere un'allowlist per FQDN, non per IP, e di generare alert quando un endpoint contatta un IP di hosting cloud non associato a un FQDN in lista.

Come controllo preventivo, le policy di uscita del proxy dovrebbero richiedere categorizzazione del dominio: i domini non categorizzati che risolvono su range di hosting meritano ispezione TLS e logging esteso.

L'analisi forense di una tecnica pre-compromise impone un cambio di prospettiva: gli artefatti principali non risiedono sull'endpoint della vittima, ma in fonti esterne e nei residui lasciati dopo che il VPS è stato utilizzato per contattare l'ambiente target. La timeline si costruisce a ritroso, partendo dal punto di contatto.

Fonti esterne: la storia del VPS. I database WHOIS storici e i servizi di passive DNS — come quelli offerti da DomainTools (a pagamento), Farsight DNSDB (a pagamento) o il modulo passive DNS di RiskIQ/Microsoft Defender Threat Intelligence (a pagamento) — permettono di ricostruire la catena IP → dominio → periodo di attività. Se il VPS era associato a un dominio usato per phishing o C2, il record passivo mostra la finestra temporale in cui il dominio ha risolto verso quell'IP, spesso solo per pochi giorni, coerente con il pattern di rotazione rapida.

I log di Certificate Transparency sono un'altra risorsa chiave: interrogando il servizio crt.sh (gratuito) è possibile identificare tutti i certificati emessi per un dominio sospetto e correlare i timestamp di emissione con la finestra operativa della campagna. Nella campagna ArcaneDoor (C0046), ad esempio, i VPS dedicati al C2 avrebbero lasciato tracce nei certificati TLS utilizzati per le comunicazioni con i dispositivi di rete compromessi.

Artefatti endpoint. Sul lato vittima, i segni del contatto con il VPS emergono nei log di connessione. Su Windows, gli eventi del firewall (EventCode 5156 nel Security log) registrano connessioni in uscita verso IP esterni. I log Sysmon, se configurati con regole adeguate, catturano le connessioni di rete dei processi (EventCode 3), permettendo di associare un eseguibile specifico all'IP del VPS avversario.

Su sistemi Linux, i log di iptables/nftables e i record di auditd (con regole su syscall connect) forniscono dati equivalenti. Per dispositivi di rete come quelli coinvolti nella J-magic Campaign (C0050), i log di flusso e le sessioni VPN anomale verso IP di hosting rappresentano il punto d'ingresso nella timeline.

Correlazione e sequenza. La timeline forense per questa tecnica segue tipicamente questa struttura: emissione certificato TLS (CT log) → prima risoluzione DNS verso il VPS (passive DNS) → prima connessione dall'endpoint vittima (log firewall/Sysmon) → inizio del traffico C2 regolare (NetFlow). Ogni punto temporale rafforza l'attribuzione e delimita la finestra di compromissione.

Con 14 gruppi che impiegano questa tecnica, il panorama è vasto ma strutturato lungo direttrici geografiche e operative ben definite. L'analisi dei pattern di acquisizione VPS rivela scelte infrastrutturali che funzionano come impronte digitali degli attori.

Nexus russo — operazioni agili e distribuite. Gamaredon Group (G0047) sceglie deliberatamente provider VPS fuori dalla Russia, una scelta di compartimentazione che separa l'infrastruttura operativa dalla giurisdizione d'origine. APT28 (G0007) adotta un approccio ancora più effimero, sfruttando servizi gratuiti per ospitare domini di phishing solo per brevi periodi durante le campagne. Ember Bear (G1003) utilizza i VPS in modo polivalente — ricognizione, hosting di tool, exploitation e destinazione di esfiltrazione — dimostrando un approccio "VPS come piattaforma operativa completa".

Nexus cinese — reti ORB e infrastruttura stratificata. Le campagne FLORAHOX Activity (C0053) e SPACEHOP Activity (C0052) rappresentano l'evoluzione più sofisticata: i VPS non sono nodi isolati ma componenti di reti Operational Relay Box ibride, dove server commerciali si mescolano a router compromessi e nodi Tor. Questo schema multi-layer, utilizzato da attori come ZIRCONIUM, APT5 e Ke3chang, rende l'attribuzione estremamente complessa. La KV Botnet Activity (C0035), legata a Volt Typhoon, segue una logica simile ma orientata all'infiltrazione di infrastrutture critiche statunitensi, incluse entità a Guam.

Nexus iraniano e nordcoreano. CURIUM (G1012) e APT42 (G1044) impiegano VPS con infrastruttura anonimizzata per interagire con gli ambienti vittima, coerente con operazioni di spionaggio mirato. Sul fronte nordcoreano, Moonstone Sleet (G1036) usa VPS per l'hosting di payload da scaricare, mentre Contagious Interview (G1052) si distingue per la varietà di provider utilizzati — da Stark Industries Solutions a RouterHosting, da Leaseweb Singapore a Kaopu Cloud — suggerendo una strategia di diversificazione deliberata per evitare il blocco di un singolo ASN.

Campagne su dispositivi di rete. Un trend emergente collega ArcaneDoor (C0046) e la J-magic Campaign (C0050): entrambe puntano a dispositivi di rete (Cisco, Juniper) e impiegano VPS dedicati per il C2. Questo schema — VPS + backdoor su appliance perimetrali — rappresenta un vettore ad alto impatto per il targeting di reti governative e infrastrutture critiche.

Il dato chiave per il TI analyst è la scelta del provider: monitorare gli ASN ricorrenti nelle campagne e correlare nuove acquisizioni VPS su quegli stessi range con indicatori di targeting attivo può fornire early warning prima che la fase di Initial Access abbia inizio.

Framework MITRE ATT&CK: T1583.003, TA0042, M1056. Campagne: C0053 (FLORAHOX Activity), C0050 (J-magic Campaign), C0032, C0046 (ArcaneDoor), C0035 (KV Botnet Activity), C0052 (SPACEHOP Activity). Detection: Internet Scan (DET0838). Integrato con conoscenza professionale per tool e procedure operative.