Sabato 04 Luglio 2026 12:38:42 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Intelligence & Threat Trends

Dentro la Cassetta degli Attrezzi di ToddyCat: Come un Gruppo di Hacker Oscuro Prende il Controllo delle Email Aziendali

Una nuova ondata di attacchi informatici rivela l’arsenale in continua evoluzione di ToddyCat per rubare email sensibili e token Microsoft 365 da organizzazioni ignare.

In Breve

  • ToddyCat è un gruppo hacker avanzato attivo dal 2020, che prende di mira Europa e Asia.
  • Il gruppo utilizza strumenti personalizzati come TCSectorCopy e TomBerBil per rubare email di Outlook e dati dei browser.
  • Sfruttano i token di accesso Microsoft 365, consentendo l’accesso remoto alle email aziendali.
  • I nuovi attacchi del 2024 impiegano varianti PowerShell e tecniche di dump della memoria per aggirare le difese.
  • Gli esperti di sicurezza avvertono che ToddyCat affina costantemente le proprie tattiche per eludere il rilevamento.

Colpo Moderno: Scassinatori Digitali all’Opera

Immaginate una squadra di scassinatori digitali che si muove silenziosa nei corridoi della sede virtuale di un’azienda. Al posto di piede di porco e grimaldelli, usano codice ingegnoso e strumenti su misura, forzando i caveau della corrispondenza aziendale. Questo è il mondo in cui si muove ToddyCat-un gruppo di hacker sofisticato che fa notizia per la sua incessante caccia a email sensibili e token di accesso agli account.

ToddyCat, attivo dal 2020, si è guadagnato una reputazione tra gli esperti di cybersicurezza per la sua attenzione ai bersagli di alto valore in Europa e Asia. La loro ultima campagna, scoperta da Kaspersky, mostra non solo abilità tecnica ma anche capacità di adattamento e innovazione. Il kit di strumenti del gruppo ora include programmi personalizzati come TCSectorCopy e TomBerBil, progettati per un solo scopo: penetrare nelle “stanze della posta” digitali delle grandi organizzazioni.

Come ToddyCat Sblocca i Codici

Al centro di questi attacchi c’è un’astuta manipolazione del modo in cui i computer memorizzano e proteggono le informazioni. TCSectorCopy, ad esempio, agisce come una fotocopiatrice ad alta tecnologia, duplicando silenziosamente i file di archiviazione offline delle email di Outlook (file OST) settore per settore-anche quando la casella di posta è in uso e teoricamente bloccata. Una volta copiati, questi file vengono aperti con strumenti pubblicamente disponibili, rivelando enormi quantità di email riservate.

Ma ToddyCat non si ferma qui. Utilizzando una variante del loro malware TomBerBil, ora riscritta in PowerShell per maggiore furtività e flessibilità, vanno a caccia di password e cookie salvati nei browser sui potenti server aziendali. Anche se Windows cripta questi dati per sicurezza, TomBerBil può sottrarre le chiavi digitali necessarie per sbloccarli, proprio come un ladro che ruba sia la cassaforte che la combinazione.

Quando le aziende si affidano ai servizi cloud di Microsoft 365, ToddyCat cambia tattica. Cercano i token di autenticazione-pass digitali che permettono agli utenti di accedere ai propri account-direttamente dalla memoria del computer. Se i software di sicurezza bloccano i loro strumenti, ToddyCat semplicemente si adatta, utilizzando programmi alternativi per eseguire il dump della memoria ed estrarre ciò che serve.

Contesto Più Ampio: Un Gioco del Gatto e del Topo

Queste tecniche collocano ToddyCat tra una crescente schiera di gruppi cybercriminali specializzati in spionaggio mirato e furtivo. Campagne simili-come quelle dei gruppi APT Cozy Bear o OceanLotus-hanno utilizzato strumenti personalizzati e tecniche di scraping della memoria per rubare segreti da reti governative e aziendali. Il motivo è chiaro: l’accesso a email sensibili e credenziali di account può essere sfruttato per spionaggio, ricatto o venduto nel dark web.

Le implicazioni geopolitiche sono difficili da ignorare. Con attacchi che attraversano i continenti e colpiscono settori critici, l’evoluzione di ToddyCat segnala una corsa agli armamenti nel sottosuolo digitale. Mentre i difensori correggono vecchie vulnerabilità e implementano nuovi strumenti di sicurezza, attori come ToddyCat stanno già pianificando la prossima mossa, fondendo la perseveranza “vecchio stile” con malware all’avanguardia.

Nel mondo ad alto rischio dello spionaggio informatico aziendale, le ultime innovazioni di ToddyCat sono un chiaro promemoria: il caveau digitale non è mai davvero al sicuro. Per ogni nuova serratura, c’è un intruso determinato pronto con un nuovo set di grimaldelli-lasciando le aziende a giocare un infinito inseguimento nell’ombra.

WIKICROOK

  • File OST: Un file OST memorizza localmente i dati della casella di posta di Outlook, consentendo agli utenti di accedere e gestire le email offline e sincronizzare le modifiche una volta riconnessi.
  • Token di Accesso: Un token di accesso è una chiave digitale temporanea che verifica l’identità e concede accesso sicuro a servizi o risorse online senza dover effettuare ripetuti login.
  • PowerShell: PowerShell è uno strumento di scripting per Windows utilizzato per l’automazione, ma spesso sfruttato dagli attaccanti per compiere azioni malevole in modo furtivo.
  • Data Protection API (DPAPI): La Data Protection API (DPAPI) è una funzionalità di Windows che permette ai programmi di criptare e decriptare dati sensibili usando le credenziali di accesso dell’utente.
  • Memory Dump: Un memory dump è un’istantanea della memoria attiva di un computer, che può esporre dati sensibili come password ed email se finisce nelle mani degli hacker.