Ombra nella sala server: come il malware furtivo di ToddyCat dà la caccia a Microsoft Exchange
Un implacabile gruppo di cyber-spionaggio sfrutta gli anelli deboli di Microsoft Exchange, lasciando una scia di credenziali compromesse e segreti rubati in tutta Europa e Asia.
Tutto è iniziato in sordina nel dicembre 2020: una serie di misteriose intrusioni su server Microsoft Exchange a Taiwan e in Vietnam. I team forensi trovarono poco più di un biglietto da visita digitale: una web shell chiamata China Chopper, in agguato nell’ombra. Con il passare dei mesi, gli attacchi si intensificarono, diffondendosi in Europa e Asia. Il colpevole? Un gruppo altamente qualificato noto come ToddyCat, le cui tattiche in evoluzione e la perizia tecnica li hanno trasformati in una delle minacce più temibili del sottobosco cyber.
L’anatomia di una violazione
Le operazioni di ToddyCat rivelano un copione di cyber-spionaggio al tempo stesso metodico e adattivo. I primi attacchi sfruttavano vulnerabilità sconosciute per distribuire China Chopper, gettando le basi per incursioni più profonde. Ma la vera svolta arrivò nel febbraio 2021, quando il gruppo trasformò ProxyLogon in un’arma: una falla critica di Microsoft Exchange che consente agli aggressori di eseguire codice da remoto senza autenticazione. All’improvviso, organizzazioni di alto profilo in tutta Europa e Asia si ritrovarono con i server di posta compromessi, e i loro segreti a rischio.
Una volta dentro, ToddyCat non si affida a un solo trucco. Le loro catene di infezione sono complesse, standardizzate e difficili da individuare. La backdoor Samurai garantisce accesso persistente, mentre strumenti come il Ninja Trojan-talvolta consegnato via Telegram-aiutano a propagare l’infezione ai sistemi desktop. Entro la fine del 2021, ToddyCat era a caccia di credenziali Microsoft e chiavi master DPAPI, espandendosi oltre i server per raccogliere dati sensibili dagli endpoint degli utenti.
Nel 2024, l’inventiva del gruppo ha raggiunto nuovi livelli. I ricercatori di sicurezza hanno scoperto un file malevolo chiamato version.dll-lo strumento TCESB-progettato per sfruttare vulnerabilità nello scanner a riga di comando di ESET. Nel frattempo, una variante PowerShell di TomBerBil ha iniziato a prendere di mira i domain controller, estraendo silenziosamente credenziali e cookie del browser tramite condivisioni SMB ed esfiltrando dati senza far scattare allarmi.
Strumenti del mestiere
Il toolkit di ToddyCat è un mix di automazione, furtività e finezza tecnica. Script PowerShell e Windows Command Shell automatizzano ricognizione e furto di dati. Attività pianificate e tunnel SSH inversi garantiscono accesso a lungo termine, mentre tecniche “Bring Your Own Vulnerable Driver” (BYOVD) e di side-loading di DLL li aiutano a eludere i controlli di sicurezza. Per il furto di dati, strumenti come TCSectorCopy aggirano i blocchi dei file sui dati di Outlook, estraendo informazioni a basso livello e comprimendole con utility come WinRAR o 7-Zip prima della trasmissione.
Anche il movimento laterale del gruppo è altrettanto sistematico: usa i protocolli SMB per spostarsi lateralmente e distribuire strumenti, mentre le operazioni di furto di credenziali raccolgono di tutto, dagli accessi ai browser ai token OAuth e ai segreti di Windows Credential Manager. Questo approccio implacabile assicura che nessun angolo di una rete compromessa resti intatto.
Difendersi dal gatto
Per i difensori, le lezioni sono nette. Rilevare un uso anomalo di PowerShell, tracciare attività pianificate e tunnel SSH inversi, e scrutinare l’accesso alle condivisioni SMB sono ormai pratiche essenziali. Le organizzazioni devono potenziare il monitoraggio delle operazioni sui file di Outlook e dei repository di credenziali dei browser, mentre una solida risposta agli incidenti e la segmentazione di rete sono fondamentali per contenere avversari così sofisticati.
Riflessioni dalla prima linea
L’evoluzione di ToddyCat da fastidio regionale a minaccia globale di spionaggio sottolinea la natura in continuo cambiamento della guerra cibernetica. Man mano che i loro metodi diventano più sofisticati, aumenta il costo della compiacenza. Per i difensori di oggi, vigilanza e adattabilità sono gli unici veri scudi contro il predatore silenzioso che si aggira nei corridoi digitali.
WIKICROOK
- ProxyLogon: ProxyLogon è una grave falla di sicurezza nei server Microsoft Exchange che ha permesso agli aggressori di accedere e controllare i sistemi da remoto, causando violazioni diffuse nel 2021.
- Web shell: Una web shell è uno script malevolo caricato su un server dagli hacker, che consente loro di controllare il server da remoto tramite un’interfaccia web.
- BYOVD (Bring Your Own Vulnerable Driver): BYOVD è un attacco informatico in cui gli hacker usano driver legittimi ma insicuri per aggirare il software di sicurezza e ottenere il controllo di un sistema informatico.
- PowerShell: PowerShell è uno strumento di scripting di Windows usato per l’automazione, ma gli aggressori spesso lo sfruttano per compiere azioni malevole in modo furtivo.
- Furto di credenziali: Il furto di credenziali avviene quando gli hacker sottraggono nomi utente e password, spesso tramite phishing o violazioni di dati, per accedere illegalmente agli account online.




