Negli ultimi mesi, Microsoft ha monitorato con attenzione le attività del gruppo cybercriminale Octo Tempest (noto anche come Scattered Spider), che ha esteso i propri attacchi a diversi settori a livello globale, dal retail al trasporto aereo, tra aprile e luglio 2025. Un gruppo particolarmente organizzato e persistente, che sfrutta tecniche avanzate di social engineering e test di vulnerabilità su sistemi cloud e on-premise.
Ciò è in linea con il modello tipico di Octo Tempest, sottolinea Microsoft, che consiste nel concentrarsi su un settore per diverse settimane o mesi prima di passare a nuovi obiettivi. I prodotti Microsoft Securitycontinuano ad aggiornare la copertura di protezione man mano che si verificano questi cambiamenti.
Microsoft spiega che Octo Tempest, noto nel settore anche come Scattered Spider, Muddled Libra, UNC3944 o 0ktapus, è un gruppo di criminali informatici motivato da scopi finanziari che è stato osservato mentre colpiva le organizzazioni utilizzando metodi diversi nei propri attacchi end-to-end. Il loro approccio include:
- Ottenere l’accesso iniziale utilizzando attacchi di ingegneria sociale e impersonando un utente, quindi contattando l’assistenza tecnica tramite telefonate, e-mail e messaggi.
- Phishing basato su SMS utilizzando domini adversary-in-the-middle (AiTM) che imitano organizzazioni legittime.
- Utilizzo di strumenti come ngrok, Chisel e AADInternals.
- Influenzare le infrastrutture di identità ibride ed esfiltrare dati per supportare operazioni di estorsione o ransomware.
Microsoft ha rivelato che le attività recenti mostrano che Octo Tempest ha distribuito il ransomware DragonForce con particolare attenzione agli ambienti hypervisor VMWare ESX. A differenza dei modelli precedenti in cui Octo Tempest utilizzava i privilegi di identità cloud per l’accesso on-premises, le attività recenti hanno comportato un impatto sia sugli account on-premises che sull’infrastruttura nella fase iniziale di un’intrusione prima di passare all’accesso cloud.
Microsoft Defender dispone di un’ampia gamma di rilevamenti per individuare le attività correlate a Octo Tempest e altro ancora. Questi rilevamenti coprono tutte le aree del portafoglio di sicurezza, inclusi endpoint, identità, applicazioni SaaS (Software as a Service), strumenti di posta elettronica e collaborazione, carichi di lavoro cloud e altro ancora, per fornire una copertura di protezione completa.
A tal proposito, Microsoft ha pubblicato un approfondimento sul proprio blog ufficiale, in cui racconta le azioni messe in campo – soprattutto all’interno della piattaforma Defender – per aiutare le aziende a prevenire e contrastare le strategie di attacco sempre più sofisticate di Octo Tempest.
Tra le novità: un rafforzamento della capacità di analisi dei segnali di sicurezza, una gestione più reattiva delle attività sospette e una protezione mirata contro gli schemi di attacco specifici utilizzati dal gruppo.
È possibile avere maggiori informazioni leggendo il blog post completo di Microsoft.
