Dentro il relay: una backdoor in Go offre agli operatori del ransomware un percorso nascosto prima della cifratura
Un implant personalizzato scritto in Go si distingue non per il rumore, ma per il controllo: esecuzione di comandi, tunneling SOCKS e una via più pulita verso le reti interne.
Un'intrusione ransomware non deve necessariamente iniziare con la cifratura per essere pericolosa. In questo caso, il dettaglio più rivelatore è l'infrastruttura di supporto: una backdoor personalizzata in Go associata a The Gentlemen e progettata per eseguire comandi, stabilire un proxy SOCKS e aiutare gli operatori a muoversi lateralmente all'interno delle reti aziendali compromesse prima che inizi la fase di cifratura.
Questo è importante perché l'implant non è solo un punto d'appoggio. È un relay. Una volta che un attaccante può inoltrare traffico attraverso un host vittima, la macchina può diventare un ponte verso sistemi interni più difficili da raggiungere dall'esterno. In termini pratici, il malware sposta il problema da un singolo endpoint infetto ai percorsi di rete che può aprire.
Fatti rapidi
- L'implant è scritto in Go, un linguaggio spesso usato per binari portabili.
- Può eseguire comandi remoti sull'host infetto.
- Può creare un tunnel proxy SOCKS per il traffico dell'operatore.
- Il comportamento si adatta al modello di proxying ATT&CK usato per attività di relay e pivoting.
- L'attribuzione a The Gentlemen resta riportata, non confermata indipendentemente qui.
Perché il livello SOCKS conta
SOCKS è un protocollo di relay standard, ed è proprio per questo che è utile nelle tecniche di intrusione. Invece di consegnare direttamente un payload a un obiettivo, un implant compatibile con SOCKS può inoltrare le connessioni per conto dell'operatore. MITRE ATT&CK monitora questo schema come Proxy e Internal Proxy, che è una lente utile per i difensori perché la tecnica conta anche quando la famiglia di malware è sconosciuta.
Il vantaggio operativo è semplice: un host compromesso può essere trasformato in un percorso controllato verso l'ambiente. Ciò può supportare l'esecuzione di comandi e l'accesso interno senza costringere ogni connessione a originare dall'infrastruttura dell'attaccante. Il risultato non è una furtività magica, ma un percorso più flessibile per il movimento di rete.
Anche Go merita attenzione qui. I programmi in Go sono spesso facili da compilare come binari autonomi e possono essere cross-compilati, il che li rende pratici per gli operatori che vogliono uno strumento compatto e distribuibile. Questo non dimostra nulla sulla catena di compilazione del campione, ma aiuta a spiegare perché Go continui ad apparire negli implant moderni e negli strumenti per ransomware.
Un dettaglio è particolarmente importante per chi risponde agli incidenti: la backdoor viene descritta come comparsa poco prima dell'inizio della cifratura. Ciò suggerisce che preparazione, accesso interno e predisposizione del relay possano far parte del flusso di lavoro dell'operatore piuttosto che essere un sottoprodotto accidentale. Le informazioni disponibili supportano un'analisi del rischio, non una dichiarazione definitiva sull'intera portata della compromissione.
Dal punto di vista difensivo, i segnali di allarme sono comportamentali. Shell di comando inattese, traffico interno di relay insolito, nuovi binari Go su server o endpoint e host che si comportano come intermediari di rete meritano una revisione immediata. Segmentare il traffico est-ovest e monitorare comportamenti simili a quelli di un proxy può aiutare a contenere una macchina trasformata in un ponte interno.
Conclusione
La lezione più ampia è che le operazioni ransomware sono sempre più costruite attorno all'infrastruttura di accesso, non solo ai payload di cifratura. Una backdoor con esecuzione di comandi e relay SOCKS trasforma una macchina in un percorso, e sono i percorsi che permettono agli operatori di avanzare più in profondità prima che i difensori si accorgano che una violazione è in corso. Nelle intrusioni moderne, lo strumento più pericoloso potrebbe essere quello che ridisegna silenziosamente la rete per primo.
TECHCROOK
dispositivo firewall hardware: Un piccolo dispositivo firewall hardware può aiutare a segmentare le reti interne, limitare il tunneling in uscita e registrare traffico insolito di tipo proxy. È un'aggiunta pratica per case e piccoli uffici che vogliono confini di rete più chiari.
WIKICROOK
- Go: Un linguaggio di programmazione spesso usato per creare eseguibili portabili e strumenti cross-compilati.
- Proxy SOCKS: Un protocollo di relay che inoltra le connessioni di rete tramite un host intermediario.
- Backdoor: Malware che fornisce controllo remoto nascosto su un sistema compromesso.
- Pivoting: Usare un host compromesso come trampolino per raggiungere altri sistemi.
- MITRE ATT&CK: Una knowledge base di tattiche e tecniche avversarie usate nella difesa informatica.




