Dalla prima vittima censita nell’agosto 2023 ai 580 attacchi pubblicamente rivendicati al 16 giugno 2026, DragonForce ha compiuto in meno di tre anni la transizione da gruppo ransomware sperimentale a cartello criminale strutturato con affiliati in tutto il mondo. L’Italia figura al quinto posto nella classifica globale dei Paesi colpiti, con 18 aziende confermate, tra cui Wipro Ferretto Group Srl, attaccata il 16 febbraio 2026. Nelle ultime settimane è emersa una nuova tecnica offensiva: Backdoor.Turn, un malware Go-based che nasconde il traffico di comando e controllo all’interno delle infrastrutture Microsoft Teams, rendendo quasi invisibili i canali di comunicazione tra attaccante e sistemi compromessi.
Chi è DragonForce: Dalle Origini al Modello Cartello
DragonForce ha fatto la sua prima comparsa in agosto 2023, sviluppato da un gruppo noto come Hackledorb. Nei primi mesi di attività, il gruppo ha mantenuto un profilo relativamente basso, accumulando accessi e testando tecniche di intrusione su obiettivi di piccole e medie dimensioni. La svolta è arrivata nel 2025, quando DragonForce ha stretto una collaborazione operativa con Scattered Spider, il collettivo di hacker anglofoni specializzato nell’ingegneria sociale contro gli helpdesk aziendali. Quella sinergia ha portato ai devastanti attacchi contro i retailer britannici Marks & Spencer, Co-op e Harrods nella primavera 2025.
Il modello di business di DragonForce si distingue per la sua struttura da Ransomware-as-a-Service (RaaS) cartello, che prevede una partecipazione agli utili particolarmente generosa: gli affiliati ricevono fino all’80% dei proventi del riscatto, contro il 70-75% offerto dalla maggior parte dei concorrenti. Il gruppo fornisce agli affiliati strumenti per la gestione degli attacchi, automazione e campagne ransomware personalizzate per piattaforme Windows, Linux, ESXi e NAS. In agosto 2025, DragonForce ha introdotto un ulteriore vantaggio competitivo: un servizio di analisi dati progettato per creare materiali di estorsione personalizzati, inclusi script per chiamate di riscatto, bozze di lettere alla direzione e analisi pseudo-legali. Il costo del servizio varia dallo 0% al 23% del pagamento del riscatto ed è riservato agli affiliati che prendono di mira organizzazioni con un fatturato annuo di almeno 15 milioni di dollari.
Il report TrendAI su DragonForce evidenzia che il gruppo “offre agli affiliati fino all’80% dei proventi del riscatto, unitamente a strumenti per la gestione degli attacchi, l’automazione e campagne ransomware su misura,” sottolineando come la struttura incentivante del cartello abbia accelerato l’acquisizione di operatori ad alto profilo tecnico.
I Numeri del 2026: 580 Vittime in Meno di Tre Anni
I dati raccolti da Ransomware.live mostrano che DragonForce ha raggiunto quota 580 vittime totali al 16 giugno 2026, con un’accelerazione marcata nell’ultimo anno. Check Point Research ha documentato 101 vittime solo nel Q1 2026, un aumento del 29% rispetto al Q4 2025, con una progressione mensile netta: 10 vittime a gennaio, 35 a febbraio, 56 a marzo. Il team di ricerca di Check Point ha concluso che “questa traiettoria suggerisce un’operazione in crescita piuttosto che in esaurimento delle risorse di accesso accumulate,” escludendo quindi un andamento passeggero legato a singoli eventi.
Il picco stagionale si è concentrato nel mese di aprile 2026, con 63 vittime rivendicate, prima di scendere a 41 in maggio secondo il rapporto mensile di Breachsense. Questa flessione non indica un indebolimento strutturale del gruppo: nel contesto globale di maggio 2026, dove 646 vittime totali sono state distribuite tra 61 gruppi attivi in 73 Paesi, DragonForce mantiene una quota rilevante del mercato criminale, posizionandosi tra i primi cinque operatori per volume di attacchi. I 3.583 vittime totali registrate nei primi cinque mesi del 2026 su tutti i gruppi ransomware proiettano un anno da circa 8.600 incidenti, il 18% in più rispetto ai 7.307 del 2025.
| Paese | Vittime DragonForce | % sul totale (580) |
|---|---|---|
| Stati Uniti | 281 | 48,4% |
| Regno Unito | 42 | 7,2% |
| Germania | 32 | 5,5% |
| Canada | 20 | 3,4% |
| Italia | 18 | 3,1% |
| Australia | 15 | 2,6% |
| Francia | 12 | 2,1% |
| Altri Paesi | 160 | 27,6% |
I settori più colpiti a livello globale confermano la logica di selezione del cartello: i servizi alle imprese (115 vittime), la manifattura (100), le costruzioni (59), la tecnologia (58) e la sanità (37). Il profilo prevalente delle vittime è quello della piccola e media impresa, ma DragonForce non ha evitato i grandi target quando l’opportunità si è presentata, come dimostrano i casi britannici del 2025.
M&S, Co-op, Harrods: Il Trimestre Nero del Retail Britannico
Il secondo trimestre 2025 ha segnato l’ingresso di DragonForce nell’albo degli attori ransomware con impatto sistemico. Tra la fine di aprile e il 1° maggio 2025, il gruppo ha colpito in sequenza tre grandi insegne del commercio al dettaglio britannico, sfruttando Scattered Spider come vettore di accesso iniziale. Il meccanismo era semplice quanto efficace: gli operatori di Scattered Spider impersonavano tecnici IT e convincevano il personale degli helpdesk a reimpostare le credenziali, ottenendo così l’accesso alle reti interne. Nel caso di M&S, l’attacco è transitato attraverso Tata Consultancy Services, il fornitore IT esterno dell’insegna, confermando ancora una volta la vulnerabilità strutturale della catena di fornitura.
Le conseguenze finanziarie per Marks & Spencer sono state immediate e pesanti: il CEO Stuart Machin ha comunicato agli investitori che l’incidente avrebbe ridotto il profitto annuale di circa £300 milioni, pari a un calo del 30% rispetto alle previsioni. La capitalizzazione di mercato del gruppo ha perso oltre £1,2 miliardi nelle settimane successive all’annuncio. Gli ordini online sono rimasti sospesi dal 25 aprile per diverse settimane. I dati rubati comprendevano nomi, indirizzi, date di nascita, numeri di telefono, indirizzi email e storico degli ordini di milioni di clienti. M&S ha confermato che le carte di pagamento e le password non sono state compromesse nel senso letterale del termine, ma il danno reputazionale è stato di dimensioni difficilmente quantificabili.
Co-op ha subito danni alle infrastrutture logistiche, causando scaffali vuoti nelle zone rurali e interruzioni delle catene di fornitura. Il gruppo ha successivamente confermato che circa 6,5 milioni di soci avevano avuto i propri dati personali esposti, inclusi contatti e date di nascita. Harrods ha reso noto il tentativo di attacco il 1° maggio 2025, dichiarando di averlo identificato e contenuto in tempi rapidi. DragonForce ha rivendicato tutti e tre gli attacchi attraverso una comunicazione diretta al CEO di M&S, inviata tramite un account riconducibile a un dipendente TCS e contenente una richiesta di riscatto in criptovaluta.
L’Italia nel Mirino: 18 Aziende e il Caso Wipro Ferretto
L’Italia occupa il quinto posto nella classifica mondiale delle vittime di DragonForce, con 18 aziende confermate al 16 giugno 2026. Il dato si inserisce in un contesto di crescita preoccupante della minaccia ransomware nel Paese: il rapporto CYFIRMA di gennaio 2026 ha registrato 20 vittime italiane nel solo mese di gennaio 2026 su tutti i gruppi ransomware attivi, piazzando l’Italia al quinto posto globale mensile dopo Stati Uniti (317), Regno Unito (42), Canada (37) e Germania (24).
Il caso più documentato riguarda Wipro Ferretto Group Srl, azienda italiana leader nel settore delle soluzioni per la movimentazione e lo stoccaggio di materiali. Il 16 febbraio 2026, DragonForce ha rivendicato pubblicamente l’attacco su DragonLeaks, il proprio portale dark web, minacciando la pubblicazione dei dati sottratti in assenza di trattative. L’azienda non ha rilasciato dichiarazioni pubbliche sull’accaduto, una prassi comune tra le vittime di ransomware che preferiscono gestire la crisi lontano dai riflettori per limitare il danno reputazionale e le potenziali conseguenze normative sotto il GDPR.
La tipologia di vittime italiane rispecchia la distribuzione globale del gruppo, con una concentrazione nei settori manifatturiero, costruzioni e servizi alle imprese. Tutti comparti in cui l’Italia vanta una forte presenza di PMI con investimenti in cybersecurity spesso insufficienti rispetto al valore dei dati gestiti. Il Rapporto TIM sulla cybersecurity 2026 ha registrato un aumento del 14% degli attacchi ransomware in Italia rispetto al 2025, con 166 incidenti gravi documentati, confermando la traiettoria preoccupante della minaccia a livello nazionale.
Backdoor.Turn: Il Malware che si Nasconde nei Teams
La tecnica più sofisticata emersa nell’arsenale di DragonForce nel 2026 è Backdoor.Turn, un malware scritto in Go che nasconde il traffico di comando e controllo all’interno dei relay Microsoft Teams. Il meccanismo sfrutta il protocollo TURN (Traversal Using Relays around NAT), utilizzato da Teams quando le connessioni dirette tra client non sono disponibili. Instradando le comunicazioni malevole attraverso questa infrastruttura, il malware fa apparire il traffico dannoso come se provenisse da servizi Microsoft ritenuti attendibili, eludendo efficacemente le soluzioni di sicurezza perimetrale basate su whitelist dei domini.
Il team di Integrity360 ha descritto Backdoor.Turn come “il primo malware noto in circolazione che abusa dei relay TURN di Microsoft Teams per il comando e controllo,” segnalando come questa tecnica rappresenti un salto qualitativo nella sofisticazione tattica del gruppo. Le capacità documentate dell’implant includono:
- Esecuzione di comandi remoti sul sistema compromesso
- Scansione di rete per mappare l’infrastruttura interna
- Ricerche in Active Directory per identificare account privilegiati
- Furto di credenziali salvate nel browser
- Acquisizione di certificati TLS per intercettare comunicazioni cifrate
L’attacco documentato ha preso di mira una grande azienda di servizi statunitense, con accesso iniziale avvenuto probabilmente attraverso lo sfruttamento di un server SQL o MSSQL vulnerabile. Una volta all’interno, gli attaccanti hanno creato utenti non autorizzati, modificato le regole del firewall, disabilitato gli strumenti di sicurezza tramite driver vulnerabili con la tecnica BYOVD (Bring Your Own Vulnerable Driver) e infine distribuito il ransomware DragonForce dopo l’esfiltrazione dei dati. L’intero ciclo operativo, dall’accesso iniziale alla distribuzione del payload, è avvenuto sotto la copertura del traffico Teams, rendendo l’attività quasi indistinguibile dal normale flusso di comunicazioni aziendali.
La Coalizione DragonForce-LockBit-Qilin del Settembre 2025
Nel settembre 2025, l’ecosistema ransomware ha assistito a un evento senza precedenti nella sua storia recente: l’annuncio pubblico di una coalizione formale tra DragonForce, LockBit e Qilin, i tre gruppi tra i più attivi del panorama criminale. Il rapporto Europol IOCTA 2026 ha documentato questa alleanza, sottolineando come “il ransomware rimanga una minaccia chiave nell’UE” e che la coalizione rappresenti una tendenza alla concentrazione del potere criminale intorno a pochi operatori dominanti.
L’alleanza ha implicazioni pratiche per le vittime: i tre gruppi condividono probabilmente risorse di accesso, infrastrutture di command and control e, in alcuni casi, affiliati. Quando DragonForce ha perso Scattered Spider come principale provider di accesso iniziale a seguito degli arresti dell’ottobre 2025, la coalizione con LockBit e Qilin ha permesso di accedere a una rete alternativa di Initial Access Broker, spiegando perché la crescita del gruppo non abbia subito interruzioni significative. Check Point Research ha confermato che DragonForce ha continuato la propria crescita operativa senza pause nel Q4 2025 e nel Q1 2026, con un balzo da 10 vittime mensili in gennaio a 56 in marzo 2026.
I Principali Gruppi Ransomware a Confronto nel 2026
Nel Q1 2026, Qilin si è confermato il gruppo più attivo con 338 vittime, mantenendo il primato per tre trimestri consecutivi. The Gentlemen è la sorpresa del periodo, balzato da 40 vittime nel Q4 2025 a 166 nel Q1 2026, con una crescita del 315% che suggerisce un accesso improvviso a risorse di alta qualità. LockBit 5.0 ha segnato il proprio ritorno con 163 vittime nel Q1, risalendo in quarta posizione dopo la disruption operativa del 2024-2025. DragonForce si posiziona a 101 vittime nel Q1 2026, con un trend in crescita del 29%. I primi dieci gruppi hanno concentrato il 71,1% di tutte le vittime pubblicate sui data leak site nel trimestre, il dato di concentrazione più alto dal Q1 2024. Il numero totale di vittime nel Q1 2026 ha raggiunto 2.122, il secondo valore più alto mai registrato per un primo trimestre.
| Gruppo Ransomware | Vittime Q1 2026 | Vittime Maggio 2026 | Modello | Italia nel target |
|---|---|---|---|---|
| Qilin | 338 | 101 | RaaS | Si |
| The Gentlemen | 166 | 70 | RaaS | Non documentato |
| LockBit 5.0 | 163 | n.d. | RaaS | Si |
| DragonForce | 101 | 41 | RaaS/Cartello | Si (18 vittime) |
| Akira | circa 80 | 52 | RaaS | Si |
| SafePay | n.d. | 25 | RaaS | Non documentato |
Gli Arresti di Luglio e Ottobre 2025: Le Forze dell’Ordine Colpiscono
Il 10 luglio 2025, la National Crime Agency britannica ha eseguito i primi quattro arresti legati agli attacchi a M&S, Co-op e Harrods: una donna di 20 anni dello Staffordshire, due uomini di 19 anni (uno britannico di Londra, uno lettone del West Midlands) e un minore di 17 anni del West Midlands. Le accuse riguardavano estorsione, riciclaggio di denaro, violazioni del Computer Misuse Act e appartenenza a un’organizzazione criminale. In ottobre 2025, l’operazione si è estesa a livello europeo: autorità di Austria, Estonia, Lettonia e Finlandia, con il supporto di Eurojust ed Europol, hanno proceduto all’arresto di ulteriori membri del gruppo Scattered Spider.
Contestualmente alle azioni giudiziarie contro Scattered Spider, il rapporto Check Point Research Q1 2026 ha rilevato che l’operatore di DragonForce noto come Tramp, ex affiliato dei gruppi Conti e Black Basta, era stato inserito nella lista dei ricercati Interpol a gennaio 2026. Nonostante queste azioni di contrasto, DragonForce non ha subito interruzioni operative significative. La lezione che emerge da questi casi è univoca: le azioni di polizia sui singoli affiliati non sono sufficienti a smantellare ecosistemi criminali complessi come i cartelli RaaS, che per design distribuiscono le funzioni operative tra decine di operatori indipendenti, ciascuno sostituibile.
I Vettori di Attacco: da Log4Shell al Social Engineering
DragonForce sfrutta una combinazione di vulnerabilità note e ingegneria sociale per penetrare nelle reti target. Tra le CVE documentate nei rapporti di sicurezza figurano CVE-2021-44228 (Log4Shell, la critica vulnerabilità di Apache Log4j) e CVE-2023-46805 (una vulnerabilità critica in Ivanti Connect Secure che ha permesso l’esecuzione di codice remoto non autenticato). Il gruppo utilizza anche strumenti legittimi come SimpleHelp per la gestione remota e SystemBC come proxy malware per mantenere la persistenza nei sistemi compromessi.
La tecnica BYOVD (Bring Your Own Vulnerable Driver) è diventata un elemento standard nella catena di attacco: gli operatori caricano driver firmati ma vulnerabili nel sistema target per disabilitare i software di sicurezza prima di distribuire il payload ransomware. Questo approccio è particolarmente efficace contro le soluzioni EDR (Endpoint Detection and Response) moderne, che si affidano al kernel di Windows per monitorare i processi: un driver con firma valida ottiene privilegi kernel e può disabilitare qualsiasi software di sicurezza in esecuzione nello spazio utente, aprendo la strada al deploy del ransomware senza alerting.
Il vettore di accesso iniziale più ricorrente rimane però il social engineering contro gli helpdesk. Gli operatori di Scattered Spider avevano perfezionato la tecnica di impersonificazione telefonica al punto da ingannare i sistemi di verifica identità di grandi organizzazioni con investimenti di sicurezza significativi. Il fatto che l’accesso a M&S sia transitato attraverso il fornitore TCS anziché direttamente dai sistemi dell’insegna sottolinea la criticità della sicurezza della catena di fornitura, un vettore che rimane sottovalutato nella maggior parte delle valutazioni del rischio aziendali.
Le Richieste di Riscatto: Da £500.000 a Oltre £5 Milioni
DragonForce applica un modello di doppia estorsione: cifra i sistemi della vittima e simultaneamente esfiltria i dati, poi pubblica i file rubati su DragonLeaks se il riscatto non viene pagato entro la scadenza. Secondo la ricerca di Zensec, nel mercato britannico “le richieste di riscatto variano tipicamente da £500.000 a £3 milioni, con alcuni settori come l’istruzione che si trovano ad affrontare richieste superiori a £5 milioni.” I riscatti vengono richiesti in criptovaluta, con preferenza per Monero nelle transazioni più grandi per le migliori caratteristiche di anonimato rispetto a Bitcoin.
Il servizio di analisi dati introdotto in agosto 2025 ha reso le pressioni estorsive ancora più personalizzate. Il servizio genera materiali specifici per ciascuna vittima: analisi del rischio regolatorio basata sui dati rubati, script per chiamate ai dirigenti, bozze di comunicazioni ai clienti e consulenze pseudo-legali sulle conseguenze normative della violazione. Il costo del servizio per gli affiliati va dallo 0% al 23% del riscatto ottenuto, creando un incentivo a prendere di mira organizzazioni con fatturato minimo di 15 milioni di dollari, dove i riscatti potenziali giustificano l’investimento nell’estorsione personalizzata.
Come Proteggersi: Le Raccomandazioni per le Aziende Italiane
Le aziende italiane, in particolare le PMI nei settori manifatturiero e dei servizi, devono agire su più livelli per ridurre il rischio. Le priorità operative emergono direttamente dall’analisi dei vettori d’attacco documentati da DragonForce nel 2025-2026.
Protezione dell’Helpdesk e Verifica Identità
Il social engineering contro gli helpdesk è il vettore principale di Scattered Spider e di chiunque operi con tattiche simili. Le organizzazioni devono implementare protocolli di verifica multi-fase per qualsiasi richiesta di reset credenziali, inclusa la verifica tramite canali fuori banda (chiamata al numero ufficiale del dipendente, conferma con il responsabile diretto). I fornitori IT esterni come TCS nel caso M&S devono essere inclusi esplicitamente nei programmi di security awareness e nei controlli di accesso privilegiato, con procedure specifiche che impediscano a personale esterno di concedere autonomamente accessi senza doppia autorizzazione interna.
Patching Prioritario e Monitoraggio dei Driver
Log4Shell (CVE-2021-44228) e le vulnerabilità Ivanti (CVE-2023-46805) rimangono tra i vettori di accesso sfruttati da DragonForce nel 2026, a dimostrazione che molte organizzazioni non hanno ancora applicato patch critiche rilasciate anni fa. Un programma strutturato di gestione delle vulnerabilità con prioritizzazione basata sull’esposizione effettiva dei sistemi è non negoziabile. La tecnica BYOVD richiede specificamente il controllo rigoroso dei driver caricati nel kernel tramite politiche di allowlist basate su Windows Defender Application Control (WDAC) o soluzioni equivalenti.
Monitoraggio Anomalie Teams e Traffico TURN
L’emergere di Backdoor.Turn impone alle organizzazioni di rivedere le politiche di monitoraggio del traffico Teams. Le soluzioni NDR (Network Detection and Response) devono essere configurate per analizzare i volumi anomali di traffico TURN, anche quando proveniente da infrastrutture Microsoft. Il blocco delle comunicazioni Teams con endpoint TURN non autorizzati e il monitoraggio delle connessioni in uscita verso i relay Teams possono aiutare a rilevare l’attività di Backdoor.Turn. L’adozione di soluzioni di Cloud Access Security Broker (CASB) che analizzano il comportamento nel traffico Teams è una misura aggiuntiva raccomandata per le organizzazioni con profilo di rischio elevato.
Previsioni per il Secondo Semestre 2026
I dati disponibili permettono di formulare cinque previsioni concrete sull’evoluzione di DragonForce e del panorama ransomware nei prossimi sei mesi:
1. DragonForce supererà le 750 vittime totali entro dicembre 2026. Il tasso attuale di circa 45-50 nuove vittime al mese, anche nella sua versione ridotta di maggio, porta il totale annuale del 2026 a superare le 500 nuove vittime su questo gruppo, proiettando il totale storico oltre quota 750.
2. Backdoor.Turn verrà adattato per altri ambienti di comunicazione aziendale. La tecnica di nascondere il traffico C2 in infrastrutture trusted (Teams, Slack, Google Meet) diventerà uno standard nei toolkit ransomware avanzati. Varianti che abusano dei protocolli WebRTC e STUN/TURN in altri ambienti sono probabilmente già in fase di sviluppo presso altri gruppi del panorama RaaS.
3. Il numero di vittime italiane crescerà del 30% entro dicembre 2026. Con 18 vittime confermate a giugno 2026, il trend storico suggerisce che l’Italia raggiungerà 23-24 vittime DragonForce entro fine anno. Le PMI manifatturiere del Nord-Est rimangono il target prioritario per il profilo settoriale del gruppo.
4. Europol avvierà una nuova operazione contro DragonForce entro fine 2026. L’inserimento dell’operatore Tramp nella lista Interpol a gennaio 2026, combinato con la documentazione della coalizione DragonForce-LockBit-Qilin nell’IOCTA 2026, segnala che le forze dell’ordine europee hanno identificato i target per un’operazione di smantellamento di grande scala sul modello di quelle già condotte contro LockBit.
5. Il servizio di analisi dati diventerà uno standard nel mercato RaaS. L’innovazione di DragonForce dell’agosto 2025, il servizio di consulenza estorsiva personalizzata, sarà replicata da almeno altri 3-5 gruppi RaaS entro la fine del 2026, aumentando ulteriormente la pressione sulle vittime e riducendo la percentuale di organizzazioni che scelgono di non pagare.
Copertura Correlata
Per approfondire il contesto della minaccia ransomware in Italia e in Europa:
- Rapporto TIM 2026: Ransomware +14% in Italia, 166 Attacchi e 48.500 CVE
- Ransomware: 8.159 Vittime nel 2025, Gruppi Attivi +49% [2026]
- Ivanti EPMM Zero-Day CVSS 9.8: 4 Governi UE Colpiti [2026]
- Commissione Europea Hackerata Due Volte: 350 GB Rubati [2026]
- Cyber Resilience Act: 83 Giorni alla Scadenza, Sanzioni fino a €15M [2026]
- Sicurezza Informatica: Guide, Analisi e News [2026]
Fonti
- Europol IOCTA 2026: Internet Organised Crime Threat Assessment
- Ransomware.live: Profilo DragonForce (aggiornato al 16 giugno 2026)
- Breachsense: Rapporto Ransomware Maggio 2026
- Integrity360: Cyber News Roundup 19 giugno 2026
- TrendAI Security: Ransomware Spotlight DragonForce
FAQ
Cos’è DragonForce Ransomware?
DragonForce è un gruppo Ransomware-as-a-Service fondato in agosto 2023 e sviluppato da Hackledorb. Opera come cartello criminale offrendo agli affiliati fino all’80% dei proventi del riscatto. Ha raggiunto notorietà globale nel 2025 con gli attacchi ai retailer britannici M&S, Co-op e Harrods, e nel 2026 conta 580 vittime confermate in tutto il mondo, di cui 18 in Italia.
Quante aziende italiane sono state colpite da DragonForce?
Al 16 giugno 2026, Ransomware.live documenta 18 vittime italiane di DragonForce, posizionando l’Italia al quinto posto globale dopo Stati Uniti (281), Regno Unito (42), Germania (32) e Canada (20). Il caso più documentato è Wipro Ferretto Group Srl, attaccata il 16 febbraio 2026.
Qual è la connessione tra DragonForce e Scattered Spider?
Scattered Spider ha agito come Initial Access Broker per DragonForce negli attacchi del 2025 ai retailer britannici, fornendo l’accesso iniziale tramite social engineering contro gli helpdesk, mentre DragonForce si occupava della distribuzione del ransomware e dell’estorsione. Scattered Spider è stato in parte smantellato con arresti nel luglio e nell’ottobre 2025, ma DragonForce ha continuato la propria crescita attraverso la coalizione con LockBit e Qilin annunciata in settembre 2025.
Cos’è Backdoor.Turn e perché è pericoloso?
Backdoor.Turn è un malware Go-based usato da DragonForce che nasconde le comunicazioni di comando e controllo all’interno del protocollo TURN di Microsoft Teams. Integrity360 lo ha descritto come “il primo malware noto che abusa dei relay TURN di Teams per C2.” Le sue capacità includono esecuzione di comandi remoti, scansione di rete, furto di credenziali dal browser e acquisizione di certificati TLS.
Quanto chiedono di riscatto i gruppi DragonForce?
Nel mercato britannico, le richieste di riscatto di DragonForce variano tipicamente da £500.000 a £3 milioni, con alcuni settori come l’istruzione che ricevono richieste superiori a £5 milioni. Il gruppo seleziona preferibilmente target con fatturato annuo superiore a 15 milioni di dollari per i servizi di estorsione premium.
Quali CVE sfrutta DragonForce per entrare nei sistemi?
DragonForce ha documentato l’utilizzo di CVE-2021-44228 (Log4Shell di Apache Log4j) e CVE-2023-46805 (Ivanti Connect Secure). Oltre alle vulnerabilità note, il gruppo sfrutta il social engineering contro gli helpdesk per ottenere credenziali senza dover sfruttare alcuna CVE, come dimostrato nell’attacco a M&S tramite il fornitore TCS.
Come posso verificare se la mia azienda è tra le vittime di DragonForce?
Il portale DragonLeaks, accessibile attraverso il browser Tor sulla rete dark web, elenca le vittime che non hanno pagato il riscatto. Strumenti come Ransomware.live aggregano queste informazioni in modo consultabile anche senza accedere al dark web. Le aziende possono monitorare le proprie menzioni attraverso servizi di threat intelligence commerciali o direttamente su queste piattaforme pubbliche di tracciamento.
