Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Ink Dragon colpisce l’Europa: SharePoint e IIS trasformati in relay C2 con ShadowPad e FINALDRAFT
Il gruppo di cyber spionaggio noto come Ink Dragon, associato a operazioni di matrice cinese, sta intensificando gli attacchi contro enti governativi e organizzazioni di telecomunicazioni. Dalle attivita osservate a partire da luglio 2025 emerge una forte attenzione verso obiettivi in Europa, senza interrompere le campagne in Asia sudorientale e Sud America.
Il cluster e conosciuto anche con altre denominazioni operative e risulta attivo almeno dal 2023, con una strategia che unisce sviluppo software solido, procedure disciplinate e uso di strumenti nativi dei sistemi per confondersi nel traffico legittimo.
Le catene di compromissione partono spesso da servizi vulnerabili esposti su Internet e da applicazioni web non aggiornate. Dopo l accesso iniziale, gli attaccanti distribuiscono web shell per mantenere un punto di ingresso e poi installano payload aggiuntivi utili al controllo remoto e alla movimentazione laterale. Tra gli strumenti impiegati compaiono componenti per command and control, ricognizione interna, elusione delle difese e furto di dati, inclusi beacon tipici di framework usati in molte intrusioni mirate.
Un elemento chiave della campagna e l abuso di valori machine key di ASP.NET prevedibili o gestiti in modo errato, sfruttati per attacchi di deserializzazione ViewState contro server IIS e ambienti SharePoint. Da qui Ink Dragon puo installare un modulo listener personalizzato basato su ShadowPad, trasformando i server compromessi in nodi della propria infrastruttura C2. Questo approccio consente di usare le vittime come relay, cioe come ponti per instradare comandi e traffico, aumentando la resilienza dell operazione e rendendo piu complessa l attribuzione e la bonifica.
La persistenza non dipende da un singolo backdoor, ma da piu componenti specializzati: loader per eseguire moduli in memoria, strumenti che sfruttano debugger di sistema per lanciare shellcode, utility per ottenere dump di LSASS e moduli per decrittare ed eseguire payload. Particolarmente rilevante e FINALDRAFT, un malware modulare che usa servizi e API legittime per il canale di comando, includendo tecniche di evasione e maggiore capacita di esfiltrazione. In alcuni casi l escalation privilegio avviene tramite token e materiali di autenticazione presenti in memoria, con successiva estrazione di database e hive di registro per ottenere controllo di dominio.