Il gruppo XE, un noto collettivo di cybercriminali di origine probabilmente vietnamita attivo dal 2010, è stato recentemente identificato mentre sfruttava una vulnerabilità zero-day in VeraCore per distribuire web shell persistenti. Questo segna un cambio significativo nelle loro tattiche, passando dal furto di carte di credito al furto mirato di informazioni. Le loro operazioni attuali prendono di mira le catene di approvvigionamento nei settori della produzione e distribuzione, utilizzando nuove vulnerabilità e tattiche avanzate.

Vulnerabilità Sfruttate

Le vulnerabilità sfruttate includono CVE-2024-57968, una vulnerabilità di caricamento di file non sicura con un punteggio di 9.9 CVSS, e CVE-2025-25181, una vulnerabilità di SQL injection. La prima è stata corretta nella versione 2024.4.2.1 di VeraCore, mentre la seconda non ha ancora una patch disponibile. XE Group ha utilizzato queste falle per installare web shell ASPXSpy, che consentono accessi non autorizzati ai sistemi compromessi. Una variante aggiornata della web shell include funzionalità per la scansione della rete e l'esecuzione di comandi SQL.

Accessi Persistenti

Il gruppo è noto per la sua capacità di mantenere accessi persistenti ai sistemi colpiti, come dimostrato dalla riattivazione di una web shell anni dopo il suo primo impiego. Questo dimostra un impegno verso obiettivi a lungo termine e una comprensione acuta delle vulnerabilità sistemiche.

Contesto Più Ampio

In un contesto più ampio, la US Cybersecurity and Infrastructure Security Agency (CISA) ha aggiunto cinque nuove vulnerabilità al suo catalogo di vulnerabilità note e sfruttate, tra cui CVE-2025-0411, una vulnerabilità di bypass di Mark of the Web in 7-Zip, e CVE-2020-29574, una SQL injection in CyberoamOS. Queste vulnerabilità sono state sfruttate attivamente, evidenziando l'importanza di aggiornare e proteggere i sistemi esposti a Internet.

Sviluppi Recenti

L'ultima attività di sfruttamento di XE Group rappresenta la prima volta che il gruppo viene associato a una vulnerabilità zero-day, indicando un aumento della loro sofisticatezza. Questo sviluppo sottolinea l'importanza cruciale di applicare tempestivamente le patch di sicurezza per proteggere le infrastrutture critiche dalle minacce informatiche emergenti.