Exchange sotto assedio in Azerbaigian: FamousSparrow rientra tre volte con ProxyNotShell e backdoor Deed RAT/TernDoor

Tra fine dicembre 2025 e fine febbraio 2026 una compagnia di petrolio e gas in Azerbaigian è stata colpita da una campagna di cyber spionaggio in più ondate, basata su ripetute compromissioni di Microsoft Exchange Server. L’aspetto più rilevante è la persistenza dell’attaccante, che ha continuato a sfruttare lo stesso punto di ingresso anche dopo diversi tentativi di bonifica, dimostrando quanto la sicurezza di Exchange dipenda da patch tempestive, controllo delle credenziali e rimozione completa delle backdoor.

L’attività è stata collegata con confidenza medio-alta a FamousSparrow, un gruppo con legami con la Cina e con sovrapposizioni tattiche rispetto ad altri cluster noti nel panorama delle minacce. La campagna ha previsto tre fasi distinte e l’impiego alternato di due backdoor.

Fasi della campagna e malware impiegati

• Prima ondata (25 dicembre 2025): distribuzione di Deed RAT, un malware considerato evoluzione o successore di famiglie usate da più gruppi di spionaggio.
• Seconda ondata (fine gennaio – inizio febbraio 2026): tentativo di introdurre TernDoor, backdoor osservata anche contro infrastrutture di telecomunicazioni in Sud America.
• Terza ondata (fine febbraio 2026): rilevata una versione modificata di Deed RAT, segnale di un arsenale in continuo affinamento e di un’operazione orientata al mantenimento dell’accesso.

Accesso iniziale e persistenza

Per ottenere l’accesso iniziale gli attaccanti avrebbero abusato della catena ProxyNotShell, una sequenza di vulnerabilità e tecniche che ha interessato Microsoft Exchange e che continua a rappresentare un rischio quando i server non sono aggiornati o quando restano esposti servizi non necessari. Dopo l’ingresso, sono stati osservati tentativi di installare web shell per la persistenza e l’esecuzione di ulteriori payload.

Tecniche di evasione e mantenimento dell’accesso

Una tecnica chiave è stata il DLL side loading evoluto, sfruttando un binario legittimo di LogMeIn Hamachi per caricare una libreria malevola. Invece della semplice sostituzione di file, la libreria altera funzioni esportate specifiche per attivare il loader in due stadi seguendo il normale flusso dell’applicazione, aumentando l’elusione delle difese.

La campagna ha incluso anche movimento laterale e la creazione di punti di appoggio ridondanti, così da resistere a rilevamenti e rimozioni parziali. In pratica, finché la vulnerabilità non viene corretta, le credenziali non vengono ruotate e la capacità di rientro non viene interrotta, lo stesso percorso di attacco può essere riutilizzato più volte.