Proprietà	Valore
Data	18/09/2025
Titolo	Gli hacker di MuddyWater utilizzano malware personalizzati con payload multistadio e sfruttano Cloudflare per mascherare le impronte digitali
Contesto	Un attacco informatico in più fasi utilizza e-mail di spear-phishing con documenti Microsoft Office dannosi contenenti macro VBA. Questi rilasciano payload da domini protetti da Cloudflare, portando all'esecuzione di malware personalizzati, tra cui StealthCache e backdoor Phoenix. StealthCache utilizza un protocollo pseudo-TLV su HTTPS per la comunicazione crittografata, mentre Phoenix si registra con un server C2 e invia periodicamente beacon. Il malware utilizza chiavi di decrittazione dinamiche derivate dai dati delle vittime, eludendo il rilevamento. L'attacco mira a stabilire punti d'appoggio nascosti, esfiltrare dati e mascherare l'infrastruttura utilizzando i proxy di Cloudflare.
Fonte	https://cybersecuritynews.com/muddywater-hackers-using-custom-malware-with-multi-stage-payloads/
Discussione?	Parliamone sul Forum