Un recente attacco informatico ha messo in allerta il mondo della cybersecurity, coinvolgendo una vulnerabilità zero-day nel software Output Messenger, una piattaforma di comunicazione aziendale indiana. Un gruppo di hacker legato alla Turchia, conosciuto come Marbled Dust (ma noto anche come Cosmic Wolf, Sea Turtle, Teal Kurma e UNC1326), ha sfruttato questa falla per condurre una campagna di cyber spionaggio mirata principalmente a obiettivi curdi in Iraq.

Dettagli della vulnerabilità

La vulnerabilità, identificata come CVE-2025-27920, riguarda una falla di tipo directory traversal nella versione 2.0.62 di Output Messenger. Questa falla permette a un attaccante remoto di accedere o eseguire file arbitrari sul server vulnerabile. Il problema è stato corretto dal produttore con il rilascio della versione 2.0.63 a fine dicembre 2024, ma non tutti gli utenti hanno aggiornato tempestivamente, lasciando ampi margini di attacco.

Dinamica dell’attacco

L’attacco si sviluppa in più fasi. I cybercriminali ottengono dapprima le credenziali di accesso al server Output Messenger, spesso tramite tecniche di DNS hijacking o domini typo-squatting, e si autenticano come utenti legittimi. Da qui, sfruttando la vulnerabilità zero-day, caricano file dannosi come “OM.vbs” e “OMServerService.vbs” nella cartella di avvio del server, oltre a un eseguibile “OMServerService.exe” nella directory pubblica dei video di Windows.

Il passaggio successivo prevede l’attivazione di un backdoor sviluppato in linguaggio Golang, che si collega a un dominio C2 hardcoded (api.wordinfos[.]com) per esfiltrare dati sensibili. Sul lato client, anche l’installer viene manipolato per eseguire file legittimi e un ulteriore backdoor Golang, che comunica con un altro dominio di comando e controllo gestito dagli attaccanti per identificare e compromettere in modo univoco la vittima.

Osservazioni e analisi

Microsoft ha osservato che questo attacco segna un salto qualitativo nelle capacità del gruppo Marbled Dust, che continua a perseguire obiettivi strategici e militari curdi, mantenendo un alto livello di sofisticazione tecnica. Oltre alla falla principale, è stata identificata anche una vulnerabilità XSS (CVE-2025-27921), ma al momento non risulta sfruttata attivamente.

Implicazioni sulla sicurezza

Questo caso dimostra come la rapidità nell’applicare le patch di sicurezza sia fondamentale e come i gruppi APT siano sempre più abili nello sfruttare vulnerabilità zero-day per campagne di spionaggio mirate.