Microsoft ha rilevato diversi attacchi effettuati dal gruppo Marbled Dust contro militari curdi in Iraq. I cybercriminali turchi hanno sfruttato una vulnerabilità zero-day presente in Output Messenger per Windows a scopo di spionaggio. La software house che sviluppa l’app ha rilasciato la patch a dicembre.
Descrizione degli attacchi di spionaggio
Marbled Dust prende di mira soprattutto organizzazioni e aziende che operano in Europa e Medio Oriente considerate “nemiche” del governo turco. L’obiettivo principale è accedere alle infrastrutture di telecomunicazioni. Più recentemente hanno invece sfruttato la vulnerabilità zero-day CVE-2025-27920 presente nell’applicazione Output Messenger Server Manager per spiare i militari curdi in Iraq.
La vulnerabilità permette ad un utente autenticato di caricare un file infetto nella directory di avvio del server che i cybercriminali hanno sfruttato per accedere alle comunicazioni degli utenti collegati al server tramite client Windows. Microsoft non ha scoperto come è avvenuto l’accesso all’applicazione (probabilmente tramite furto di credenziali tramite siti fake).
Sul server sono stati copiati due file VBS e un’eseguibile che sembra legittimo, ma in realtà è una backdoor. Sul client viene installata un’altra backdoor che permette ai cybercriminali di raccogliere informazioni per identificare la vittima. Vengono quindi esfiltrati i dati, aggiunti ad un archivio RAR e inviati al server C2 (command and control) gestito dal gruppo Marbled Dust.
La software house che sviluppa Output Messenger ha rilasciato le patch per server e client a fine dicembre 2024., quindi è consigliata l’installazione delle versioni più recenti. Microsoft suggerisce inoltre di attivare la protezione cloud di Defender Antivirus.
Ti potrebbe interessare
13 mag 2025