(in)sicurezza digitale

2026-04-19 09:13:28

PayoutsKing: il ransomware che si nasconde in una macchina virtuale per eludere gli antivirus

Un gruppo criminale noto come GOLD ENCOUNTER ha trovato un modo per rendere il proprio ransomware quasi invisibile agli strumenti di sicurezza endpoint: eseguire tutte le operazioni malevole all’interno di una macchina virtuale creata silenziosamente sui sistemi delle vittime. Il ransomware PayoutsKing, attivo da novembre 2025, sfrutta QEMU — un emulatore open source legittimo — per nascondere ogni traccia dell’attacco al di fuori del perimetro di visibilità delle soluzioni EDR e antivirus.

Il contesto: quando la virtualizzazione diventa un’arma

La tecnica di utilizzare macchine virtuali per eludere i controlli di sicurezza non è del tutto nuova: già nel 2025 diversi gruppi ransomware avevano sperimentato l’abuso di hypervisor legittimi come VMware ESXi. Ma il gruppo GOLD ENCOUNTER ha portato questa tattica a un nuovo livello di raffinatezza, usando QEMU — uno strumento open source normalmente impiegato da sviluppatori e ricercatori — per creare ambienti virtuali nascosti direttamente sui sistemi Windows delle vittime.

I ricercatori di Secureworks, che tracciano le operazioni di GOLD ENCOUNTER, hanno identificato due campagne distinte: STAC4713 (attiva da novembre 2025) e STAC3725 (identificata da febbraio 2026), entrambe caratterizzate dall’uso di QEMU come vettore di persistenza e comando-e-controllo. Secondo alcune analisi, il gruppo potrebbe avere legami con ex affiliati di BlackBasta.

Come funziona l’attacco: dalla compromissione alla VM nascosta

Il vettore di accesso iniziale varia a seconda della campagna. In STAC4713, gli attaccanti hanno sfruttato principalmente dispositivi SonicWall VPN esposti senza autenticazione a più fattori e, in almeno un incidente documentato a gennaio 2026, la vulnerabilità CVE-2025-26399 in SolarWinds Web Help Desk. La campagna STAC3725, invece, ha fatto leva su CitrixBleed2, la seconda iterazione della vulnerabilità NetScaler che ha colpito migliaia di organizzazioni.

Una volta ottenuto l’accesso iniziale, gli attori procedono con una sequenza di azioni strutturata:

• Creazione di un scheduled task denominato TPMProfiler con privilegi SYSTEM, che esegue il binario QEMU
• Deployment di un’immagine disco virtuale (custom.qcow2) mascherata da file di database o librerie DLL per evitare il rilevamento
• Avvio di una VM Alpine Linux 3.22.0 con port forwarding verso il sistema host
• Instaurazione di un tunnel SSH inverso per il comando e controllo covert

Il principio è semplice ma devastante: le soluzioni di sicurezza endpoint monitorano i processi del sistema operativo host, ma non possono ispezionare l’interno di una macchina virtuale in esecuzione. Tutto ciò che avviene dentro la VM rimane completamente opaco agli EDR.

Il toolkit nella macchina virtuale: un arsenale da penetration test

La VM Alpine Linux non è un ambiente minimale: è un’armeria completa di strumenti offensivi. In STAC4713, la VM preinstallata conteneva:

• AdaptixC2: framework C2 open source per il controllo remoto
• Chisel: tunneling TCP/UDP attraverso HTTP
• BusyBox: suite di utility Unix compatta
• Rclone: tool per l’esfiltrazione dati verso storage cloud

In STAC3725, rilevata dal CERT di Secureworks in incidenti a febbraio 2026, il toolkit era ancora più sofisticato e compilato manualmente dagli operatori: Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute e un’istanza di Metasploit completamente funzionale. Un arsenale che denota una profonda conoscenza delle tecniche di post-exploitation in ambienti Active Directory.

Furto di credenziali e movimento laterale

Prima di distribuire il ransomware, GOLD ENCOUNTER conduce operazioni estese di ricognizione e furto credenziali. Le tecniche documentate includono:

• Creazione di Volume Shadow Copies tramite vssuirun.exe per accedere a file altrimenti bloccati
• Esfiltrazione via SMB di NTDS.dit, SAM e dei registry hive SYSTEM — il database completo degli utenti Active Directory
• Enumerazione Kerberos con Kerbrute per identificare account validi
• Ricognizione AD tramite BloodHound per mappare percorsi di escalation dei privilegi
• Deployment di ScreenConnect e del framework Havoc C2 tramite DLL sideloading su ADNotificationManager.exe

Il ransomware PayoutsKing: cifratura furtiva

PayoutsKing utilizza uno schema di cifratura robusto: AES-256 in modalità CTR per la cifratura dei file, con scambio di chiavi tramite RSA-4096. Per i file di grandi dimensioni viene adottata una strategia di intermittent encryption — cifra solo porzioni del file — che accelera l’operazione e rende la cifratura meno rilevabile in tempo reale dai sistemi di monitoraggio comportamentale.

Le richieste di riscatto vengono gestite attraverso siti leak sul dark web, con la consueta doppia estorsione: pagare per il decryptor, o vedere i propri dati pubblicati.

Indicatori di compromissione (IoC)

# Scheduled Task sospetto
Nome task: TPMProfiler
Privilegi: SYSTEM
Binary: qemu-system-x86_64.exe (o varianti)

# File da monitorare
*.qcow2 in posizioni anomale (es. %APPDATA%, C:\ProgramData\)
File .qcow2 mascherati da .dll o .db

# Servizi sospetti installati
AppMgmt (uso anomalo)
CtxAppVCOMService

# Tool post-compromise da cercare
AdaptixC2, Chisel, Rclone, BloodHound.py
Kerbrute, Impacket, NetExec, KrbRelayx

# Traffico di rete
Tunnel SSH reversi su porte non standard
Connessioni SSH in uscita verso IP esterni insoliti
Traffico Rclone verso storage cloud (es. Mega, Dropbox)

Cosa fare per difendersi

La tecnica QEMU rappresenta una sfida concreta per i team di sicurezza perché sfrutta uno strumento legittimo e firmato. Le raccomandazioni per i difensori includono:

• Application allowlisting: bloccare l’esecuzione di qemu-system-*.exe su tutti gli endpoint non espressamente autorizzati
• Monitoraggio scheduled task: alert su qualsiasi task creato con privilegi SYSTEM che esegue binari non standard
• MFA obbligatoria su VPN e accessi remoti: quasi tutti i vettori di accesso iniziale documentati avrebbero potuto essere bloccati con MFA
• Patching tempestivo: CVE-2025-26399 (SolarWinds), CitrixBleed2 e vulnerabilità SonicWall devono essere priorità assolute
• Network monitoring: rilevare port forwarding SSH non autorizzato e connessioni in uscita verso storage cloud da server
• Hunt proattivo: cercare file .qcow2 e il processo qemu-system-x86_64.exe nell’intero parco macchine

La capacità di GOLD ENCOUNTER di operare per settimane o mesi all’interno di reti compromesse prima di distribuire il payload ransomware — sfruttando una VM nascosta impossibile da ispezionare dagli EDR — rende questo gruppo particolarmente pericoloso. È l’ennesima dimostrazione di come i ransomware operator stiano evolvendo verso tecniche da APT, con longevi periodi di dwell time dedicati alla ricognizione e alla maximizzazione del danno.

informapirata

2026-03-18 20:07:50

Come trasferire un account Mastodon su Poliversity.it?

Siccome alcuni utenti ci chiedono come fare per trasferire il loro account mastodon tradizionale sulla nostra istanza potenziata, abbiamo scritto delle brevi note esplicative
informapirata.it/2026/03/18/co…

Come trasferire un account Mastodon su Poliversity.it?

Siccome alcuni utenti ci chiedono come fare per trasferire il loro account mastodon tradizionale sulla nostra istanza potenziata, abbiamo scritto delle brevi note…

^{informapirata}

Spcnet.it

2026-04-17 13:45:21

Azure MCP in Visual Studio 2022: 230+ strumenti Azure direttamente nell’IDE

Addio alle estensioni: Azure MCP è ormai integrato in VS2022

Fino a poco tempo fa, usare gli strumenti Azure MCP in Visual Studio 2022 richiedeva di cercare un’estensione dal Marketplace, installare un file VSIX, riavviare Visual Studio, e sperare che tutto funzionasse. Se qualcosa andava storto, dovevi disinstallare e reinstallare completamente.

Oggi, Microsoft ha integrato nativamente Azure MCP come parte del workload Azure in Visual Studio 2022. Niente più estensioni separate da gestire, niente più problemi di versione mismatch, un unico percorso di aggiornamento. Se hai già il workload Azure installato, accedi a 230+ strumenti Azure con un semplice click.

Cosa è cambiato realmente

La differenza è fondamentale: prima avresti visto questo flusso:

1. Aprire Visual Studio Marketplace
2. Cercare “GitHub Copilot for Azure (VS 2022)”
3. Scaricare e installare l’estensione VSIX
4. Riavviare Visual Studio
5. Sperare che tutto funzioni

Ora il flusso è semplicemente:

1. Avere il workload Azure installato (già incluso in tante installazioni di VS2022)
2. Abilitare il server Azure MCP una volta in Copilot Chat
3. Usare 230+ strumenti Azure direttamente nel tuo IDE

I vantaggi di questa integrazione

1. Zero attrito

Nessun passo di installazione aggiuntivo. Azure MCP arriva automaticamente quando aggiorni Visual Studio, esattamente come gli altri componenti del tuo IDE.

2. Aggiornamenti sincronizzati

La versione di Azure MCP Server viene aggiornata insieme a Visual Studio durante i rilasci regolari. Non ci sono più versioni non allineate tra l’estensione e l’IDE.

3. 230+ strumenti per 45 servizi Azure

Gli strumenti Azure MCP coprono praticamente l’intero ecosistema Azure, da servizi core come Compute e Storage a soluzioni avanzate come Cognitive Services e Machine Learning.

Cosa puoi fare con Azure MCP Tools

Imparare

Chiedi a Copilot Chat informazioni su servizi Azure, best practices, e pattern architetturali direttamente nell’IDE:

// In Copilot Chat:
"Come architettare un'applicazione scalabile su Azure per 1 milione di utenti?"
"Qual è la differenza tra Azure Service Bus e Azure Queue Storage?"

Progettare e sviluppare

Ricevi raccomandazioni su quali servizi Azure usare e genera configurazioni pronte per il tuo codice:

// Copilot suggerisce:
// "Per una web app ad alta concorrenza, consiglio Azure App Service con SQL Database
// e Redis Cache. Vuoi che generi il bicep template?"

Deployare

Provisiona risorse Azure e distribuisci l’applicazione senza lasciare Visual Studio:

// "Crea un'App Service su eastus con auto-scaling da 2 a 10 istanze"
// Copilot esegue i comandi Azure CLI direttamente

Troubleshooter

Accedi a log, verifica lo stato delle risorse, e diagnostica problemi in produzione:

// "Controlla gli ultimi errori nella mia Function App 'MyProcessorApp'"
// Copilot legge i log da Application Insights

Come iniziare

Prerequisiti

• Visual Studio 2022 (versione recente)
• Workload Azure installato
• GitHub Copilot Chat abilitato
• Credenziali Azure configurate localmente

Passaggi

1. Apri GitHub Copilot Chat in Visual Studio
2. Cerca la sezione “Tools” (Strumenti)
3. Abilita “Azure MCP Server”
4. Inizia a scrivere prompt relativi ad Azure

Casi d’uso reali per sviluppatori italiani

Startup e PMI con risorse IT limitate: Usare Copilot + Azure MCP elimina la necessità di un DevOps engineer separato per compiti di infrastruttura semplici.

Team già in Azure: Se usi già servizi come Azure App Service, SQL Database, o Azure Functions, gli strumenti MCP ti permettono di gestirli senza alternare tra Visual Studio e il portale Azure.

Development in Cloud: Con Azure MCP integrato, puoi debuggare, deployare, e troubleshootare applicazioni cloud interamente dall’IDE, migliorando la produttività.

Conclusione

L’integrazione nativa di Azure MCP in Visual Studio 2022 è un esempio di come Microsoft continua a eliminare frizioni dai workflow degli sviluppatori. Non è una feature entusiasmante sulla carta, ma nella pratica quotidiana risparmia tempo e riduce la complessità gestionale. Per qualsiasi team che sviluppa su Azure, abilitare Azure MCP in Copilot Chat dovrebbe essere una delle prime cose da fare.

Fonte: Microsoft Visual Studio Blog – Azure MCP Tools Now Ship Built Into Visual Studio 2022

Azure MCP tools now ship built into Visual Studio 2022 — no extension required - Visual Studio Blog

Azure MCP tools are now built into Visual Studio 2022 as part of the Azure development workload — no separate extension to find, install, or update.

^{Yun Jung Choi (Visual Studio Blog)}

informapirata ⁂

2026-04-16 16:32:35

Alcuni utenti di Bluesky segnalano che il sito di social media non è disponibile.

Gli utenti di #Bluesky segnalano un bug che mostra una schermata vuota o un messaggio di errore al momento dell'accesso.

lbc.co.uk/article/bluesky-user…

@bluesky

Is Bluesky down? Social media platform not working for users | LBC

Users of Bluesky report bug that shows blank screen or error message upon login

^{William Mata (LBC)}