L'articolo discute una scoperta significativa nel campo della sicurezza informatica, dove oltre 4.000 backdoor web sono state dirottate attraverso il controllo di domini scaduti. Queste backdoor, utilizzate da vari attori malevoli, sono state recuperate registrando oltre 40 nomi di dominio, che erano stati progettati per servire come punti di comando e controllo. La società di sicurezza informatica watchTowr Labs ha condotto questa operazione, in collaborazione con la Shadowserver Foundation, per monitorare le attività compromesse.

Il dirottamento ha permesso di tracciare i sistemi compromessi mentre "segnalavano", offrendo teoricamente la possibilità di prendere il controllo di questi sistemi. Tra i bersagli compromessi identificati figurano enti governativi di Bangladesh, Cina, Nigeria, e istituzioni accademiche in Cina, Corea del Sud e Thailandia. Le backdoor, essenzialmente web shell, sono progettate per fornire accesso remoto persistente alle reti bersaglio, variando in funzionalità e scopo. Alcune delle web shell più note includono c99shell e r57shell, che offrono funzionalità avanzate come l'esecuzione di codice arbitrario, operazioni sui file, distribuzione di payload aggiuntivi, e la rimozione automatica dai sistemi compromessi.

Un aspetto interessante è che alcune di queste web shell erano state ulteriormente compromesse dai loro stessi manutentori, consentendo involontariamente ad altri attori malevoli di prendere il controllo dei sistemi infetti. Questo fenomeno mette in luce come anche gli attaccanti possano commettere errori simili a quelli dei difensori, come l'uso di domini scaduti e software vulnerabile.

L'articolo sottolinea anche un caso precedente in cui watchTowr Labs aveva acquisito un vecchio dominio WHOIS per soli 20 dollari, scoprendo oltre 135.000 sistemi unici che continuavano a comunicare con un server ormai migrato. Questo includeva aziende private, server di posta governativi e militari in vari paesi.

Questa scoperta evidenzia la necessità critica di una gestione proattiva dei domini e delle infrastrutture digitali per evitare che diventino punti di accesso per attacchi informatici. Le implicazioni di tali vulnerabilità possono essere vaste, esponendo enti governativi, accademici e privati a rischi considerevoli. La vicenda serve come promemoria dell'importanza di una vigilanza continua e di aggiornamenti infrastrutturali per proteggere le reti da compromissioni potenziali.