// 4 CVE · 1 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Unit 42 rileva una campagna che usa chiamate vocali su Microsoft Teams per installare EtherRAT. Il malware sfrutta smart contract Ethereum per il C2, rendendo

Gli attori di minaccia stanno abusando delle chiamate vocali su Microsoft Teams impersonando il supporto IT aziendale per indurre i dipendenti a installare EtherRAT, un trojan di accesso remoto che sfrutta smart contract Ethereum per il comando e controllo. La campagna, documentata da Palo Alto Networks Unit 42 in un report del 6 luglio 2026, dimostra come le piattaforme di comunicazione aziendale siano diventate il nuovo terreno di caccia per il social engineering avanzato: non più email sospette, ma interazioni vocali apparentemente legittime che sfruttano la familiarità degli utenti con gli strumenti quotidiani.

Punti chiave
  • La campagna inizia con email di phishing contenente PDF "Employee Survey", seguita da chiamata vocale su Teams da account esterno con label "External unfamiliar"
  • L'account attaccante identificato è helpdesk@Progressive936.onmicrosoft[.]com, che guida la vittima all'installazione di strumenti di accesso remoto legittimi
  • L'MSI malevolo (v7.msi) da camorreado[.]click funge da loader Node.js che scarica runtime legittimo, decrittografa payload ed esegue EtherRAT
  • EtherRAT recupera il server C2 attivo tramite smart contract Ethereum, rendendo l'infrastruttura di comando più resistente ai takedown convenzionali
  • Nove versioni di installer (v1-v9) trovate su server di distribuzione indicano sviluppo attivo del toolkit

La catena di attacco: dal PDF al controllo remoto via blockchain

L'attacco si articola in una sequenza multi-stadio che mira a superare la diffidenza naturale verso le email tradizionali. La fase iniziale utilizza un messaggio di phishing con allegato PDF intitolato "Employee Survey", un tema che gioca sulla partecipazione interna dell'utente. Il documento non è l'payload finale, ma il trigger per stabilire credibilità.

Nella fase successiva, la vittima riceve una chiamata vocale su Microsoft Teams. L'account del chiamante appare come esterno — con la label "External unfamiliar" visibile durante la sessione — ma l'indirizzo helpdesk@Progressive936.onmicrosoft[.]com suggerisce una copertura plausibile. I log di audit, secondo Unit 42, confermano che l'attaccante ha iniziato la chat esterna utilizzando proprio questo account.

Durante la chiamata, l'operatore impersonato guida l'utente all'installazione di strumenti di accesso remoto legittimi: HopToDesk e AnyDesk. Questa scelta è strategica: l'uso di software riconosciuto riduce i rischi di rilevamento da parte delle soluzioni di sicurezza endpoint, che spesso whitelisting applicazioni legittime di desktop remoto, e abbassa le difese psicologiche della vittima, che vede installare software noto.

Il passaggio critico avviene con il download e l'esecuzione di un installer MSI, identificato come v7.msi, ospitato sul dominio camorreado[.]click. L'MSI non contiene direttamente il malware finale, ma funge da loader Node.js: scarica un runtime Node.js legittimo, decrittografa payload embedded e lancia EtherRAT. Questa architettura a più livelli complica l'analisi forense e ritarda il rilevamento.

EtherRAT: il RAT che parla con la blockchain

EtherRAT è un trojan di accesso remoto cross-platform scritto in Node.js, una scelta che garantisce portabilità tra sistemi operativi senza necessità di ricompilazione. Le funzionalità documentate includono controllo remoto del sistema compromesso, esecuzione di comandi arbitrari, furto di dati e meccanismi di persistenza.

La caratteristica tecnicamente più rilevante è il canale di comando e controllo. EtherRAT non si appoggia a server tradizionali con indirizzi IP statici o nomi di dominio facilmente sequestrabili. Recupera invece il server C2 attivo interrogando uno smart contract sulla blockchain Ethereum.

Questa scelta architetturale ha conseguenze operative concrete: lo smart contract rimane attivo finché qualcuno paga il gas per mantenerlo sulla rete, e il suo contenuto è replicato su migliaia di nodi. Gli operatori possono aggiornare il riferimento al server C2 interagendo con il contratto, senza ridistribuire il malware.

Su un server di distribuzione scoperto durante l'investigazione, Unit 42 ha rilevato una directory aperta contenente installer del malware in nove versioni successive, dalla v1 alla v9. Questa evidenza indica sviluppo attivo e iterativo del toolkit, con probabili correzioni di bug, evasioni di rilevamento e ottimizzazioni dell'installer nel corso del tempo.

Perché il vettore Teams cambia le regole del gioco

L'abuso di Microsoft Teams rappresenta un'evoluzione qualitativa rispetto al phishing tradizionale. Le piattaforme di comunicazione aziendale godono di un livello di fiducia implicito che le email esterne non possiedono da anni: l'utente medio associa Teams a conversazioni interne, collaborazione documentale e interazioni con colleghi. La presenza di un account che sembra appartenere all'organizzazione — anche se marcato come esterno — sfrutta questa asimmetria cognitiva.

La scelta di utilizzare chiamate vocali aggiunge un ulteriore strato di pressione psicologica. La sincronia della conversazione reale riduce il tempo per la verifica, mentre la guida step-by-step dell'attaccante crea una dinamica di autorità che disincentiva l'opposizione. Lo screen sharing, spesso richiesto durante queste sessioni, espone direttamente l'interfaccia della vittima al controllo visivo dell'operatore.

Microsoft ha introdotto nel 2026 avvisi per chiamanti esterni e policy restrittive per i bot di terze parti, riconoscendo la crescita di questo vettore. La campagna EtherRAT dimostra tuttavia che queste misure non neutralizzano la minaccia quando l'attacco si gioca sull'ingegneria sociale piuttosto che su vulnerabilità tecniche della piattaforma.

Cosa fare adesso

Le organizzazioni che utilizzano Microsoft Teams possono adottare misure specifiche contro questa campagna. Verificare che gli account con label "External unfamiliar" non possano avviare chiamate vocali verso utenti senza autorizzazione preventiva. Bloccare a livello di firewall e proxy il dominio camorreado[.]click e l'account helpdesk@Progressive936.onmicrosoft[.]com, segnalati come IoC dalla ricerca Unit 42.

Configurare le policy endpoint per richiedere approvazione amministrativa all'installazione di software di accesso remoto come HopToDesk e AnyDesk, anche quando le applicazioni sono firmate digitalmente. Implementare controlli di rete che rilevino il download di runtime Node.js in contesti non previsti dalle policy aziendali, dato che il loader MSI di EtherRAT utilizza questa tecnica.

Addestrare il personale a riconoscere che le chiamate Teams da account esterni, anche con naming suggestivo di supporto IT, richiedono verifica indipendente tramite canale noto — telefono interno o ticket system — prima di eseguire istruzioni. Aggiornare i modelli di threat intelligence per tracciare smart contract Ethereum sospetti utilizzati come meccanismo di resilienza C2, integrando questa capacità nelle piattaforme di analisi blockchain.

"Threat actors are abusing Microsoft Teams voice calls by impersonating corporate IT support staff to trick employees into installing the EtherRAT malware, giving attackers initial access to corporate networks." — Palo Alto Networks Unit 42, via BleepingComputer

Limiti e contesto

Il dossier non specifica il numero esatto di organizzazioni o vittime compromesse, né il settore industriale o la geografia preferenziale delle campagne. Non emerge alcuna attribuzione a gruppo threat actor specifico: il dossier non documenta sovrapposizioni infrastrutturali, indicizzatori di linguaggio o pattern di comportamento che colleghino EtherRAT a campagne attribuite pubblicamente.

Il meccanismo esatto di decrittazione del payload nel loader MSI non è dettagliato, rendendo impossibile valutare la robustezza crittografica. Le funzionalità complete di EtherRAT al di là del controllo remoto, dell'esecuzione comandi e del furto dati non sono documentate in modo esaustivo.

FAQ

Cos'è lo smart contract Ethereum usato da EtherRAT e perché complica la difesa?

Uno smart contract è un programma immutabile sulla blockchain Ethereum che esegue automaticamente istruzioni quando riceve transazioni. EtherRAT lo interroga per ottenere l'indirizzo del server C2 attivo. Poiché il contratto è distribuito su una rete decentralizzata, non esiste un'unica entità da contattare per disattivarlo né un server fisico da sequestrare.

Perché l'attaccante usa strumenti legittimi come AnyDesk e HopToDesk?

Il dossier documenta che l'attaccante guida la vittima all'installazione di questi software come fase intermedia. L'uso di applicazioni riconosciute riduce la probabilità di blocco da parte delle soluzioni di sicurezza e sfrutta la familiarità dell'utente con strumenti di supporto remoto legittimi, abbassando le difese percettive.

Microsoft Teams è vulnerabile a questa tecnica?

No. L'articolo riporta che l'abuso si fonda sull'ingegneria sociale, non su vulnerabilità tecniche della piattaforma. L'account attaccante è esterno e marcato come tale; l'attacco sfrutta la tendenza degli utenti a fidarsi delle interazioni su piattaforme aziendali, non un difetto del software Teams.

La campagna EtherRAT segnala un punto di non ritorno per il social engineering aziendale: le difese tecniche sono ancora necessarie, ma il perimetro decisivo si è spostato sulla capacità degli utenti di verificare l'identità di chi contatta attraverso canali che istintivamente percepiscono come sicuri. Il C2 su blockchain aggiunge una complessità che le organizzazioni dovranno integrare nei modelli di threat intelligence, abituandosi a tracciare minacce che non lasciano impronte su server tradizionali.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. bleepingcomputer.com
  2. thehackernews.com
  3. securelist.com
  4. deals.bleepingcomputer.com