: Lascia il tuo voto agli Italian Security Awards 2026
Campagne mirate e tecniche avanzate per un nuovo threat actor
Redazione SecurityOpenLab Il cluster UNK_CraftyCamel monitorato da Proofpoint usa email dannose, file poliglotti e la backdoor Sosano per eludere i sistemi di sicurezza e colpire obiettivi mirati.
C’è un nuovo cluster di minacce, identificato come UNK_CraftyCamel, che prende di mira specifiche organizzazioni con campagne altamente mirate. I ricercatori di Proofpoint ne stanno monitorando le mosse e hanno scoperto che sfrutta una backdoor denominata Sosano e si serve di tecniche avanzate di offuscamento per eludere i sistemi di sicurezza.
La campagna procede almeno dall’autunno 2024, quando Proofpoint ha rilevato un’attività malevola rivolta contro organizzazioni degli Emirati Arabi Uniti. I messaggi dannosi provenivano da un'entità compromessa che aveva legami commerciali di fiducia con le vittime. UNK_CraftyCamel, infatti, ha dapprima compromesso l'infrastruttura di un’azienda indiana di elettronica, successivamente l’ha sfruttata come punto di partenza per la distribuzione del malware alle organizzazioni target negli Emirati Arabi Uniti. Le email contenevano file ZIP dannosi che, una volta aperti, avviavano una catena di infezione multistadio.
Partecipa agli ItalianSecurityAwards 2026 ed esprimi il tuo voto premiando le soluzioni di cybersecurity che reputi più innovative
Una delle caratteristiche distintive di questa campagna è l'uso di file poliglotti, ossia file che possono essere interpretati in modi diversi a seconda del contesto. Questa tecnica consente al malware di mascherarsi efficacemente, rendendo più difficile la sua individuazione da parte dei sistemi di sicurezza tradizionali. Si tratta di un'evoluzione nelle strategie di offuscamento che ha lo scopo di aumentare la complessità nella detection e nell'analisi delle minacce.
La catena di infezione della backdoor Sosano
Backdoor e malware
Denominata Sosano dai ricercatori di Proofpoint, la backdoor usata dagli attaccanti è stata sviluppata con il linguaggio di programmazione Go ed è progettata per fornire agli attaccanti un accesso remoto persistente ai sistemi compromessi, così da poter eseguire comandi arbitrari, rubare informazioni sensibili e - potenzialmente - distribuire ulteriori payload malevoli. Come indicato più volte, il linguaggio di programmazione Go offre dei vantaggi in termini di portabilità e complessità dell'analisi che rendono più difficile individuare e mitigare le minacce. Nel blog di Proofpoint trovate tutti i dettagli tecnici e gli Indicatori di Compromissione.
Tag correlati
Esplora altri articoli su questi argomenti
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Ultime notizie Tutto
L'AI crea 457 milioni di problemi di sicurezza nelle organizzazioni
25-06-2026
Check Point e Illumio ampliano la partnership per garantire protezione e resilienza contro gli attacchi basati sull’AI
25-06-2026
Il perimetro non basta più, gli MSP ridisegnano la soglia minima di sicurezza
25-06-2026
IBM potenzia la sicurezza mainframe
25-06-2026
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
