PhantomCore smascherato: il collettivo hacktivista furtivo che arma le falle del software russo

Un gruppo di hacker filoucraino ha violato reti russe sfruttando falle non divulgate in TrueConf, mettendo a nudo le vulnerabilità del software domestico sotto assedio informatico.

Quando le organizzazioni russe hanno avviato i loro server di videoconferenza TrueConf lo scorso autunno, in pochi hanno sospettato che le loro conversazioni potessero diventare le linee del fronte di una cyber-guerra clandestina. Ma nel settembre 2025, un gruppo oscuro noto come PhantomCore - chiamato anche Fairy Trickster e Rainbow Hyena - si è insinuato silenziosamente tra le crepe digitali, armando tre vulnerabilità nascoste per infiltrare le reti russe con precisione chirurgica.

Fatti in breve

PhantomCore ha sfruttato tre vulnerabilità finora sconosciute nei server di videoconferenza TrueConf per violare organizzazioni russe.
Il gruppo è rimasto inosservato per settimane, distribuendo malware personalizzato, web shell e strumenti per il movimento laterale in rete e il furto di credenziali.
TrueConf ha rilasciato patch il 27 agosto 2025, ma gli attacchi di PhantomCore sono iniziati a metà settembre, prendendo di mira sistemi non aggiornati.
L’arsenale di PhantomCore include sia strumenti di hacking sviluppati ad hoc sia strumenti pubblicamente disponibili, spesso usando il phishing come vettore iniziale d’attacco.
Altri gruppi, come CapFIX e molteplici collettivi “Werewolf”, stanno contemporaneamente prendendo di mira settori russi con campagne malware diversificate.

Secondo un rapporto dettagliato di Positive Technologies, l’operazione di PhantomCore non è stata un colpo opportunistico “mordi e fuggi”. Al contrario, il gruppo ha meticolosamente eseguito reverse engineering e concatenato tre falle nel software server di TrueConf - nessuna delle quali disponeva, all’epoca, di exploit pubblici. Le vulnerabilità spaziavano da controlli di accesso deboli (che consentivano azioni amministrative non autorizzate), alla lettura arbitraria di file, fino a un bug critico di command injection (CVSS 9.8) che permetteva agli attaccanti di eseguire comandi di sistema da remoto.

Con queste chiavi in mano, PhantomCore ha aggirato l’autenticazione e preso il controllo dei server TrueConf, usandoli come teste di ponte per esplorare più a fondo le reti delle vittime. Una volta dentro, gli attaccanti hanno distribuito una sofisticata suite di malware: web shell PHP per l’esecuzione remota di comandi, server proxy per mascherare il traffico malevolo e payload personalizzati come PhantomPxPigeon - un client TrueConf manomesso, capace di reverse shell ed esecuzione di task. Il movimento laterale è stato abilitato tramite strumenti come Windows Remote Management e RDP, mentre la raccolta di credenziali ha sfruttato script mirati a soluzioni di backup e dump di memoria.

Gli attacchi di PhantomCore non si sono fermati agli exploit tecnici. Anche l’ingegneria sociale ha avuto un ruolo, con campagne di phishing che hanno recapitato file ZIP e RAR “trappola” a organizzazioni russe fino ai primi mesi del 2026. L’obiettivo finale: backdoor persistenti, furto di dati e, in alcuni casi, distribuzione di ransomware usando codice preso in prestito da gang famigerate come Babuk e LockBit.

Questa ondata di attacchi fa parte di un quadro più ampio. Accanto a PhantomCore, gruppi come CapFIX, Geo Likho e una costellazione di fazioni “Werewolf” stanno lanciando campagne coordinate contro obiettivi russi - dall’aviazione ai settori industriali. I loro metodi vanno dal phishing e canali Telegram malevoli a siti web falsi che distribuiscono trojan e strumenti di hacking generati dall’IA. Nonostante il comune focus geopolitico, gli investigatori hanno trovato poche prove di un coordinamento diretto - il che suggerisce campagne parallele, ma indipendenti, alimentate dal conflitto russo-ucraino in corso.

La saga di PhantomCore è un monito netto: anche il software “domestico” non è un rifugio sicuro in un mondo iperconnesso di conflitti cibernetici. Mentre gruppi hacktivisti e criminali continuano a evolversi, le organizzazioni russe - e quelle di tutto il mondo - si trovano davanti a un panorama di minacce sempre più complesso, in cui furtività, velocità e ingegno tecnico decidono chi vincerà la prossima battaglia digitale.

TECHCROOK

Per ridurre il rischio di compromissioni via phishing, web shell e movimento laterale come quelle descritte nell’attacco a server di videoconferenza non aggiornati, una soluzione concreta è un endpoint protection con funzioni EDR. Bitdefender Total Security combina antivirus di nuova generazione, protezione anti-phishing e anti-ransomware, analisi comportamentale e controlli web per bloccare payload malevoli (ZIP/RAR, dropper, script) prima dell’esecuzione. Su Windows integra difese contro exploit e tentativi di escalation, aiutando a individuare attività anomale (esecuzione remota, persistenza, connessioni sospette) tipiche di reverse shell e tool di post-exploitation. È adatto a postazioni e piccoli uffici che devono alzare rapidamente la soglia di sicurezza senza infrastrutture complesse. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

Catena di exploit: una catena di exploit è una serie di vulnerabilità collegate che gli attaccanti usano insieme per violare un sistema, aggirando la sicurezza attraverso più passaggi.
Command Injection: la command injection è una vulnerabilità in cui gli attaccanti inducono i sistemi a eseguire comandi non autorizzati inserendo input malevoli in campi o interfacce utente.
Reverse Shell: una reverse shell si verifica quando un computer compromesso si collega di nascosto a un attaccante, concedendogli il controllo remoto e aggirando le difese di sicurezza standard.
Movimento laterale: il movimento laterale è quando gli attaccanti, dopo aver violato una rete, si spostano “di lato” per accedere ad altri sistemi o dati sensibili, ampliando controllo e raggio d’azione.
Phishing: il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.