Il malware Lorem Ipsum ha cambiato vettore di consegna in meno di una settimana dopo il dismantling di Fox Tempest da parte di Microsoft a maggio 2026. Secondo un report di BlueVoyant, l'operatore ha abbandonato installer Microsoft Teams trojanizzati con certificati fraudolenti per tattiche ClickFix su siti WordPress legittimi compromessi. Il caso illustra come la disruption di infrastrutture criminali acceleri l'innovazione tattica piuttosto che arresterla.
- La campagna Lorem Ipsum è tracciata da BlueVoyant sin da febbraio 2026 con vettore originale basato su installer Teams firmati con certificati Microsoft Trusted Signing ottenuti tramite Fox Tempest.
- Microsoft ha revocato oltre 1.000 certificati nel dismantling di Fox Tempest; il pivot a ClickFix è stato osservato pochi giorni dopo, alla fine di maggio 2026.
- Il nuovo vettore sfrutta almeno cinque siti WordPress compromessi in settori diversi, con iframe injection che induce la vittima a eseguire un comando PowerShell mascherato da aggiornamento Edge.
- BlueVoyante ritiene con forte convinzione che la campagna sia collegata a Rapid Brigantine (Vanilla Tempest, DEV-0832), gruppo attivo dal 2022 e associato a famiglie ransomware enterprise.
La catena originale: fiducia costruita su firma digitale
Dal febbraio 2026 il malware Lorem Ipsum operava attraverso installer Microsoft Teams alterati, distribuiti via SEO poisoning e malvertising su portali di download. Gli eseguibili erano firmati con certificati Microsoft Trusted Signing, ottenuti fraudolentemente attraverso il servizio Fox Tempest, noto anche come Forging Marauder. La firma digitale conferiva legittimità apparente, riducendo il tasso di intercettazione da parte dei controlli di sicurezza basati sulla reputazione del certificato.
La catena di infezione originale impiegava tecniche di DLL sideloading, payload criptati e un sistema di comando e controllo che abusava della piattaforma di blogging LetsDiskuss[.]com come dead-drop per recuperare dinamicamente gli indirizzi dei server C2. Il malware assegnava identificatori unici per tracciare e gestire le infezioni individuali, indicando un'operazione strutturata e monitorata.
Il takedown e la risposta immediata: da installer firmati a ClickFix
Microsoft ha dismantlato Fox Tempest nel maggio 2026, revocando oltre 1.000 certificati Microsoft Trusted Signing. L'operazione ha privato Lorem Ipsum del proprio modello di distribuzione. BlueVoyant ha osservato il pivot alla fine di maggio 2026, pochi giorni dopo il takedown: gli operatori hanno migrato a un meccanismo che elimina completamente la dipendenza dalla firma del codice.
"The loss of certificate supply rendered the previous signed-installer delivery model unviable, forcing the operators to adopt a delivery mechanism that eliminates code signing entirely"
Il nuovo vettore opera attraverso almeno cinque siti WordPress legittimi compromessi, attivi in settori tra architettura, servizi legali e tecnologia delle costruzioni. L'iniezione di un iframe mostra una falsa notifica di aggiornamento browser. La vittima viene indotta a incollare nel Windows Terminal un comando PowerShell mascherato come "Microsoft Edge security intelligence update". L'esecuzione scarica e avvia silenziosamente il malware, accompagnata da un messaggio di successo falso.
Espansione del bersaglio: da utenti attenti a chiunque navighi
La transizione comporta un'allargamento significativo del pool di vittime potenziali. Il vecchio vettore si rivolgeva a utenti che cercavano attivamente installer di Microsoft Teams su portali SEO-poisoned. Il nuovo vettore espone chiunque visiti uno dei siti WordPress compromessi, indipendentemente dall'intenzionalità della ricerca. I controlli basati sulla reputazione del dominio diventano inefficaci: i siti ospitanti sono legittimi, la compromissione è sottostante alla pagina visibile all'utente.
"The pivot significantly broadens the potential victim pool from users who encountered fake Microsoft Teams installers on SEO-poisoned and malvertised download portals to anyone browsing one of the compromised WordPress sites"
Il dossier non specifica se i siti WordPress siano stati compromessi appositamente per questa campagna o se la violazione fosse preesistente e successivamente riutilizzata. Non è quantificato il numero esatto di vittime del nuovo vettore.
L'attribuzione a Rapid Brigantine: da IAB mid-tier a operatore ransomware enterprise
BlueVoyant ha rivisto la propria valutazione sull'attore. Inizialmente classificato come initial access broker (IAB) mid-tier, Lorem Ipsum è ora ritenuto con forte convinzione collegato a Rapid Brigantine, tracciato anche come Vanilla Tempest, DEV-0832 e precedentemente associato al brand Vice Society. Il gruppo è attivo da almeno metà 2022 ed è legato a famiglie ransomware di livello enterprise: Rhysida, BlackCat, Zeppelin e Quantum Locker.
I tre indicatori di collegamento citati da BlueVoyant sono: un report Microsoft di ottobre 2025 che documenta una campagna Vanilla Tempest con installer Teams; l'uso condiviso di Fox Tempest/Forging Marauder per l'acquisizione di certificati; e report DFIR in cui loader associati a Lorem Ipsum hanno consegnato backdoor attribuite a Rapid Brigantine. Rimane tuttavia non chiaro se Rapid Brigantine operi direttamente la campagna o la acquisisca/purchi da un IAB terzo.
Perché è importante
Il caso Lorem Ipsum illustra un pattern sistemico nella cybercriminalità contemporanea: la disruption di un punto di frizione (la catena di approvvigionamento dei certificati firmati) non arresta la minaccia ma ne altera la geometria, spingendo verso vettori più difficili da intercettare con controlli tradizionali. Il ClickFix non richiede firma digitale, non dipende da domini maligni registrati ex novo, e sfrutta l'esecuzione volontaria da parte dell'utente per bypassare meccanismi di protezione automatici.
La fonte non documenta misure correttive specifiche per le organizzazioni esposte. Il dossier non specifica la natura dei dati esposti o la presenza di varianti del payload ClickFix per browser diversi da Microsoft Edge. La campagna rimane attiva: la resilienza operativa degli attori, misurata in giorni anziché mesi, rappresenta il parametro critico per valutare l'efficacia degli interventi di disruption.
Per il settore enterprise, l'indicazione implicita è la prioritizzazione di rilevamenti comportamentali rispetto a indicatori statici, data la capacità dimostrata di pivot rapido. La fonte non elenca tuttavia configurazioni tecniche specifiche o controlli da attivare.
Il passaggio da trust basato su infrastruttura crittografica a trust basato su ingegneria sociale non è un arretramento tecnico: è un adattamento evolutivo che sfrutta la familiarità degli utenti con le procedure di aggiornamento e la pressione psicologica della sicurezza. La linea di difesa si sposta dal gateway perimetrale al comportamento individuale, con tutte le incertezze che questo comporta.
Le informazioni sono basate sull advisory citata e aggiornate al momento della pubblicazione.
Fonti
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/the-gentlemen-ransomware-claims-478.html
- https://www.lipsum.com/
- https://nvd.nist.gov/vuln/detail/cve-2024-55591
- https://nvd.nist.gov/vuln/detail/CVE-2025-32433
- https://nvd.nist.gov/vuln/detail/CVE-2025-33073
- https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/
- https://thehackernews.com/2025/12/weekly-recap-apple-0-days-winrar.html#:~:text=The%20Gentlemen%20Ransomware%20Uses%20BYOVD%20Technique%20in%20Attacks