Nell’agosto 2025, i ricercatori del Counter Threat Unit™ (CTU) hanno indagato su un’intrusione che ha coinvolto l’uso del legittimo strumento open source di digital forensics e incident response (DFIR) Velociraptor. In questo incidente, l’attaccante ha utilizzato lo strumento per scaricare ed eseguire Visual Studio Code, con l’intento probabile di creare un tunnel verso un server di comando e controllo (C2) sotto il suo controllo. L’attivazione dell’opzione di tunneling in Visual Studio Code ha generato un alert in Taegis™, poiché questa funzionalità può consentire sia l’accesso remoto sia l’esecuzione remota di codice ed è stata in passato sfruttata da diversi gruppi di attaccanti.
L’autore della minaccia ha utilizzato l’utility msiexec di Windows per scaricare un installer (v2.msi) da un dominio Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev). Questa posizione sembra essere stata usata come cartella di staging per strumenti malevoli, tra cui il tool di tunneling di Cloudflare e l’applicazione di amministrazione remota Radmin. Questo file ha installato Velociraptor, configurato per comunicare con il server C2 velo[.]qaubctgg[.]workers[.]dev.
Successivamente, l’aggressore ha utilizzato un comando PowerShell codificato per scaricare Visual Studio Code (code.exe) dalla stessa cartella di staging ed eseguirlo con l’opzione di tunneling abilitata. In seguito, ha installato code.exe come servizio e ha reindirizzato l’output verso un file di log. Ha poi riutilizzato l’utility Windows msiexec per scaricare ulteriore malware (sc.msi) dalla cartella workers[.]dev.
Continua a leggere l’articolo.
