Cloud Atlas riarma il toolkit: backdoor inediti e patch RDP per lo spionaggio

Cloud Atlas riarma il toolkit: backdoor inediti e patch RDP per lo spionaggio

Tra il secondo semestre 2025 e i primi mesi del 2026, l'APT Cloud Atlas ha condotto una campagna di cyber-spionaggio contro enti governativi e aziende commerciali in Russia e Bielorussia, sostituendo parte del proprio arsenale con strumenti precedentemente non documentati. Il gruppo ha introdotto i backdoor VBCloud e PowerShower, uno script di persistenza multi-funzione e utility legittime modificate per l'evasione, dimostrando una cura maniacale per la manutenzione dell'accesso su sistemi già compromessi. L'evoluzione non è nel volume degli attacchi, ma nella raffinatezza della post-compromissione: Cloud Atlas ha imparato a camuffare l'attività malevola come manutenzione di routine.

Dal phishing alla persistenza: la catena di fixed.ps1

La via di ingresso rimane il phishing, ma con una variante archivistica: ZIP contenenti file LNK la cui command line scarica ed esegue script PowerShell ospitati su risorse esterne. Kaspersky segnala anche il ricorso persistente a documenti che sfruttano CVE-2018-0802, una vulnerabilità del Microsoft Office Equation Editor corretta quasi sette anni fa, indicando che il gruppo non disdegna vectore vecchi purché efficaci.

Il vero salto qualitativo si osserva nel payload intermedio. Lo script fixed.ps1, una volta eseguito, si copia in %temp%, crea la chiave di registro Run\YandexBrowser_setup per garantirsi il riavvio automatico, apre un PDF esca per illudere l'utente e cancella sistematicamente artefatti anti-forensi — rar.zip, *.pdf.zip, *.pdf.lnk — prima di procedere all'installazione di VBCloud e PowerShower. È un orchestratore di post-compromissione che fonde persistenza, ingegneria sociale e pulizia delle tracce in un unico flusso.

"In 2025, we observed pervasive SSH tunnel activity, which has remained active into 2026, affecting many government organizations and commercial companies in Russia and Belarus."

— Kaspersky Securelist

VBCloud e PowerShower: due backdoor, due missioni

VBCloud è strutturato in due componenti: video.vbs, un loader RC4 con chiave hardcoded, e video.mds, il corpo cifrato del backdoor. Una volta in memoria, il modulo VBCloud::Backdoor si connette al server di comando e controllo e inizia a cercare file con estensioni di interesse: DOC, PDF, XLS. L'esfiltrazione passa attraverso il canale RC4 stabilito con il C2. La scelta del formato — VBS più payload cifrato — è coerente con la strategia di Cloud Atlas di mimetizzare il malevolo tra script apparentemente innocui.

PowerShower, posizionato in C:\Users\[username]\Pictures\googleearth.ps1, ha un profilo operativo diverso. È progettato per la ricognizione di rete, il movimento laterale e l'attacco Kerberoasting. Il backdoor scarica inoltre uno script aggiuntivo per il furto di credenziali: crea una Volume Shadow Copy del disco C:, copia i file SAM e SECURITY rinominandoli con estensione PDF, e utilizza fodhelper.exe per un bypass UAC che esegue PowerShell con privilegi elevati. La combinazione di shadow copy e mascheramento da documento riassume la filosofia operativa del gruppo — sfruttare meccanismi legittimi di Windows contro gli stessi difensori.

La patch RDP e i tunnel nascosti in OpenSSH

Uno degli indicatori più insoliti è lo script rdp_new.ps1, con hash MD5 1A11B26DD0261EF27A112CE8B361C247. Lo script cerca nella libreria termsrv.dll la sequenza di byte esatta 39 81 3C 06 00 00 e la sostituisce con B8 00 01 00 00 89 81 38 06 00 00 90. Il risultato: Windows 10 accetta sessioni RDP multiple simultanee senza notificare l'utente legittimo già collegato. Dopo la modifica, lo script riavvia il servizio RDP. Non è una backdoor nel senso classico, ma una modifica del comportamento del sistema operativo che rende il movimento laterale invisibile.

Per il controllo remoto, Cloud Atlas ha fatto leva su tre canali sovrapposti. Il principale è il tunnel SSH inverso, gestito da script VBS (Gen.vbs, Run.vbs, Kill.vbs) eseguiti tramite PAExec/PsExec con persistenza garantita da un scheduled task Windows. Il dettaglio più sottile è nei binari OpenSSH impiegati: le importazioni erano modificate per caricare syruntime.dll invece di libcrypto.dll, presumibilmente per eludere il rilevamento basato su firme o sui controlli di integrità delle librerie. A questo si aggiungono RevSocks, strumento in Golang per tunnel e proxy diretti, e in alcuni casi la rete Tor con HiddenService per il controllo del host compromesso.

Cosa fare adesso

• Monitorare il traffico SSH in uscita verso endpoint non catalogati e le anomalie nel comportamento di ssh.exe o sshd.exe, particolarmente se associati a processi parent come PAExec, PsExec o wscript.exe con argomenti VBS.
• Implementare il rilevamento di modifiche non autorizzate a termsrv.dll e verificare regolarmente l'integrità della sequenza di byte critica per il controllo delle sessioni RDP multiple; un semplice controllo hash non basta, servono regole sui byte specifici.
• Ispezire le chiavi di registro Run e gli scheduled task per nomi plausibili ma non verificati — "YandexBrowser_setup" è l'esempio documentato — e correlarli con la presenza di script PowerShell in percorsi utente come Pictures o Downloads.
• Rivedere le policy di rilevamento post-infezione: i payload di Cloud Atlas non si limitano a infettare, ma mantengono, nascondono e manutenzionano l'accesso. Le difese devono coprire l'intero ciclo di vita, non solo il primo stadio.

Il metodo della manutenzione invisibile

Cloud Atlas non ha rivoluzionato il proprio modus operandi, ma lo ha affinato fino a renderlo quasi indistinguibile dalla normale attività di sistema. La patch di termsrv.dll, la sostituzione delle importazioni in OpenSSH, il nome "YandexBrowser_setup" per la persistenza: ogni scelta punta alla sopravvivenza nel tempo più che allo shock iniziale. Questo è il tratto distintivo di un APT veterano che sa che il valore di un accesso compromesso si misura nei mesi, non nei minuti.

Per le organizzazioni che difendono infrastrutture sensibili, il messaggio è che il pericolo non è più solo nel payload mai visto, ma nel comportamento post-compromissione che imita la manutenzione. Riconoscere la differenza richiede di spostare il baricentro della detection dal file al flusso, dal singolo indicatore alla sequenza di azioni che nessun amministratore legittimo compirebbe in quest'ordine, con questa frequenza, verso questi endpoint.

Fonti

• https://securelist.com/cloud-atlas-2026/119895/
• https://blog.talosintelligence.com/uat-8302/

FAQ

Perché Cloud Atlas continua a usare CVE-2018-0802 dopo anni dalla patch?

Il gruppo calcola che in alcuni ambienti enterprise la patch non sia stata applicata, o che i controlli di compatibilità ritardino l'aggiornamento. È una scelta di efficienza, non di eleganza tecnica.

La patch di termsrv.dll richiede privilegi di amministratore?

Sì, la modifica della libreria di sistema e il riavvio del servizio RDP richiedono accesso elevato. Ciò indica che Cloud Atlas dispone già di credenziali compromesse o di una vulnerabilità locale per l'escalation.

I binari OpenSSH modificati possono essere rilevati con strumenti standard?

Gli strumenti basati su firme hash potrebbero non rilevarli se il binario principale non è stato alterato nelle sezioni codice ma solo nelle importazioni. Servono controlli di integrità delle dipendenze dinamiche o behavioral detection sull'uso anomalo di DLL sostitutive.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://securelist.com/cloud-atlas-2026/119895/
• https://blog.talosintelligence.com/uat-8302/