Allerta Storm-2561: Come il SEO Poisoning sta trasformando i download di VPN in trappole per credenziali

Nel mondo ad alto rischio della sicurezza aziendale, gli strumenti progettati per proteggerci sono spesso proprio quelli che gli aggressori utilizzano come mimetizzazione. Microsoft Threat Intelligence ha recentemente lanciato l'allarme su una sofisticata campagna condotta da un gruppo di minaccia tracciato come Storm-2561. Questo attore sta sfruttando il SEO poisoning (avvelenamento dei motori di ricerca) per distribuire client VPN trojanizzati, prendendo di mira specificamente i lavoratori remoti e gli amministratori IT che cercano software aziendali legittimi.

Sebbene la campagna abbia raggiunto il culmine a metà gennaio 2026, Storm-2561 non è un nuovo attore. Il gruppo ha perfezionato le sue tattiche di impersonificazione almeno dal maggio 2025. La loro ultima evoluzione mostra un livello di rifinitura pericoloso, utilizzando malware con firma digitale per bypassare i normali avvisi di sicurezza e sottrarre credenziali VPN sensibili.

La meccanica del SEO Poisoning

Il SEO poisoning, o manipolazione dei motori di ricerca, è una tecnica in cui gli aggressori creano siti web dannosi e li ottimizzano in modo così efficace da farli apparire in cima alle pagine dei risultati dei motori di ricerca (SERP). Quando un utente cerca uno strumento comune, come uno specifico client VPN, un editor PDF o un'utilità di desktop remoto, il primo link potrebbe non essere il sito ufficiale del fornitore, ma un clone convincente controllato da Storm-2561.

Pensatela come a un "esca e sostituzione" digitale. Entrate in quella che sembra una banca rispettabile, ma l'intero edificio è una facciata progettata per rubarvi le chiavi nel momento in cui le consegnate. Apparendo tra i primi tre risultati di ricerca, questi siti malevoli ottengono un livello di fiducia immeritato da parte di utenti ignari che presumono che i motori di ricerca abbiano già verificato il contenuto.

Dai file ZIP ai Trojan con firma digitale

Una volta che un utente clicca sul link avvelenato, viene tipicamente reindirizzato attraverso una serie di siti intermedi per mascherare la destinazione finale. Infine, gli viene chiesto di scaricare un file ZIP. All'interno di questo archivio si trova il payload: un programma di installazione trojanizzato che appare e agisce come un legittimo client VPN.

Ciò che rende questa campagna particolarmente efficace è l'uso di binari con firma digitale. In passato, molti installer di malware non erano firmati, attivando gli avvisi di "Editore sconosciuto" di Windows. Storm-2561 ha aggirato questo problema ottenendo o rubando certificati di firma del codice validi. Quando l'utente esegue l'installer, il sistema operativo vede una firma "fidata", rendendo il processo di installazione fluido e sicuro.

Sebbene il client VPN possa persino funzionare in una certa misura, esegue segretamente in background uno script per il furto di credenziali. Questo script prende di mira le credenziali memorizzate, i token di sessione e i file di configurazione utilizzati dalla VPN, inviandoli al server di comando e controllo (C2) dell'aggressore.

Perché le credenziali VPN sono il premio finale

Per un attore di minacce come Storm-2561, un set di credenziali VPN valide è un biglietto d'oro. In un moderno ambiente aziendale, la VPN è la porta d'accesso alla rete interna. Una volta che un aggressore possiede queste credenziali, può:

• Aggirare il perimetro: Entra nella rete come utente "fidato", spesso superando gli ostacoli iniziali del firewall.
• Movimento laterale: Dal punto di ingresso della VPN, può sondare server interni, database e ambienti cloud.
• Esfiltrazione di dati: Con un accesso legittimo, può spostare grandi quantità di dati senza attivare gli stessi allarmi che un'intrusione esterna potrebbe far scattare.

Identificare la firma di Storm-2561

L'indagine di Microsoft sulle attività di metà gennaio 2026 ha rivelato diversi tratti distintivi del cluster Storm-2561. Il gruppo tende a concentrarsi su software aziendali di alto valore piuttosto che su app per consumatori. Mostrano inoltre una preferenza per l'impersonificazione di fornitori ampiamente utilizzati in settori regolamentati, come la finanza e la sanità.

L'infrastruttura utilizzata da Storm-2561 è altamente volatile. Ruotano frequentemente i loro nomi di dominio e utilizzano servizi di cloud hosting legittimi per ospitare i loro file ZIP dannosi, rendendo più difficile per le tradizionali blacklist basate su IP rimanere aggiornate.

Come proteggere la tua organizzazione

La difesa contro il SEO poisoning richiede un mix di controlli tecnici e formazione degli utenti. Poiché il malware è firmato digitalmente e il metodo di distribuzione si basa sull'intento dell'utente (la ricerca di software), le soluzioni antivirus tradizionali potrebbero non intercettare sempre la minaccia al punto di ingresso.

Consigli pratici per gli utenti

Se sei un collaboratore individuale o un professionista IT, la migliore difesa è una sana dose di scetticismo. Verifica sempre l'URL prima di cliccare su un link di download. Un sito che appare come official-vpn-download.com è probabilmente un falso; il sito legittimo sarebbe nomefornitore.com/download.

Inoltre, presta attenzione al "Referrer" nel tuo browser. Se un risultato di ricerca ti porta attraverso tre diversi reindirizzamenti prima di raggiungere una pagina di download, chiudi la scheda. I fornitori di software legittimi vogliono portarti al loro prodotto il più rapidamente possibile; non si nascondono dietro un labirinto di redirect.

Mentre Storm-2561 continua a evolversi, la comunità tecnologica deve rimanere vigile. Il passaggio da un semplice malware a un sofisticato furto di credenziali guidato dal SEO dimostra che gli aggressori si stanno allontanando dalle tattiche "mordi e fuggi" a favore di una strategia a lungo termine: ottenere un accesso silenzioso e autenticato al cuore dell'azienda.

Fonti

• Microsoft Threat Intelligence: Storm-2561 Activity Report (Jan 2026)
• Microsoft Defender Experts: Analysis of SEO Poisoning Techniques
• Cybersecurity & Infrastructure Security Agency (CISA): Alert on Trojanized Enterprise Software