La backdoor Neursite è in grado di raccogliere informazioni di sistema, gestire i processi in esecuzione e indirizzare il traffico di rete attraverso host compromessi, consentendo ai cybercriminali di muoversi lateralmente all'interno di una rete.
Autore: Redazione BitCity
Pubblicato il: 27/10/2025
Il Global Research and Analysis Team (GReAT) di Kaspersky ha scoperto una campagna di cyberspionaggio denominata PassiveNeuron, che prende di mira i server Windows di enti governativi, società finanziarie e industriali in Asia, Africa e America Latina. La campagna è stata individuata nel dicembre 2024 ed è proseguita fino ad agosto 2025.
Dopo sei mesi di inattività, PassiveNeuron ha ripreso le operazioni, utilizzando tre strumenti principali, due dei quali precedentemente sconosciuti, per ottenere e mantenere l'accesso all'interno delle reti prese di mira.
Gli strumenti sono:
La backdoor Neursite è in grado di raccogliere informazioni di sistema, gestire i processi in esecuzione e indirizzare il traffico di rete attraverso host compromessi, consentendo ai cybercriminali di muoversi lateralmente all'interno di una rete. Sono stati rilevati campioni in grado di comunicare sia con server di comando e controllo esterni che con sistemi interni compromessi.
NeuralExecutor è stato progettato per distribuire payload aggiuntivi. L'impianto supporta diversi metodi di comunicazione ed è in grado di caricare ed eseguire assembly .NET ricevuti dal proprio server di comando e controllo.
“PassiveNeuron si distingue per la sua abilità nel compromettere i server, che spesso rappresentano la base delle reti aziendali”, ha affermato Georgy Kucherin, Security Researcher del GReAT. “I server esposti alla rete Internet sono obiettivi molto ambiti dai gruppi APT (Advanced Persistent Threat), poiché un singolo host compromesso può fornire l'accesso a sistemi critici. È quindi essenziale ridurre al minimo le superfici di attacco correlate e monitorare costantemente le applicazioni server per rilevare e bloccare potenziali attacchi”.
Da alcuni campioni osservati dal GReAT, è emerso che i nomi delle funzioni sono stati sostituiti con stringhe contenenti caratteri cirillici, introdotti intenzionalmente dagli aggressori. La presenza di questi elementi richiede un'attenta valutazione durante l'attribuzione, poiché potrebbero costituire false tracce volte a depistare le analisi. Sulla base delle tattiche, delle tecniche e delle procedure osservate, Kaspersky ritiene che la campagna sia probabilmente associata a gruppi di hacker di madrelingua cinese. All'inizio del 2024, i ricercatori di Kaspersky avevano già rilevato l'attività di PassiveNeuron e descritto la campagna come altamente sofisticata.
BitCity e' una testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007
Iscrizione ROC n. 15698
G11 MEDIA S.R.L. - Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
