Luci dei server che lampeggiano innocenti in qualche armadio IT di un governo asiatico. Poi — bam — arriva l’aggiornamento avvelenato, infettando decine di endpoint senza fare rumore.
Ecco la storia del zero-day di TrueConf, CVE-2026-3502, armato da quella che Check Point chiama una crew cinese nella loro op TrueChaos. Io inseguo queste storie da due decenni, dall’hype VC della Valley alle violazioni reali, e questa è un classico: fidati dell’update, e sei fregato.
TrueConf si propone come la scelta sicura per governi e militari paranoici. Server on-premises, senza bisogno di internet, persino air-gapped. Audio, video, chat — tutto bloccato onsite. Sembra perfetto per i tipi sospettosi che schivano i ficcanaso cloud di Zoom, no? Ma ecco il nodo: il processo di aggiornamento client? Una barzelletta.
No integrity checks. No authenticity verification. Client vede che il server ha una versione più nuova, chiede all’utente — clicca sì, e il codice malevolo va a briglie sciolte.
Come gli hacker cinesi hanno violato la configurazione ‘inviolabile’
Gli hacker non hanno toccato macchine singole. Intelligente. Hanno compromesso il server TrueConf on-premises centrale — gestito dal team IT governativo, per giunta. Sostituito il pacchetto update legittimo con uno trappola. Inserita una libreria malevola, sideloadata tramite un eseguibile pulito. Boom: impianto per ricognizione, persistenza, movimento laterale. Persino una chiamata a casa verso IP del framework Havoc C2.
Check Point l’ha inchiodato:
«Il server TrueConf on-premises compromesso era gestito dal dipartimento IT governativo e fungeva da piattaforma di videoconferenza per decine di enti governativi in tutto il paese, che sono stati tutti forniti dello stesso aggiornamento malevolo.»
Dozzine. Un server, infezione di massa. Abusando di quella relazione di fiducia come un lupo in veste d’agnello.
E il CVSS? 7.8. Alto, ma non apocalisse — finché non consideri i target: governi, infra critiche. Chi ha bisogno di root quando hai tutta la rete?
Ma air-gapped? Attivazione offline? Sì, è il pitch di vendita. In realtà, i client continuano a prendere update dal server. Manomissilo lì, e puff — il gap si riempie di malware.
Ho visto questo film prima. Ricordate SolarWinds? Stati-nazione che dirottano update fidati per colpire i grossi pesci. TrueConf è solo l’ultimo sequel, ma per la folla offline. Previsione: aspettatevi copycat. Ogni tool ‘sicuro’ on-prem è un vettore ora.
Perché i governi continuano a cascarci
Guardate, TrueConf l’ha fixato nella 8.5.3 a marzo. Ora nella lista KEV di CISA, patch entro il 16 aprile o guai, feds. Ma quanti ritardatari là fuori? I governi amano i loro kit legacy — lenti ad aggiornare, ancora più lenti ad auditarli.
Il cinico in me si chiede: chi vince davvero? Check Point fa titoli, TrueConf spinge patch (e vendite?), attori cinesi testano il loro mestiere. End-user? Pagano il conto della pulizia.
L’impianto non ha preso un payload finale in quello che ha visto Check Point, ma i legami con Havoc urlano divertimento post-sfruttamento. Ricognizione, persistenza — preparazione per lo spettacolo grosso.
Paragrafo breve: Patchate. Ora.
Andando più a fondo, questo smaschera il mito dell’air-gapping. Costruisci muri, ma il ponte levatoio — update, USB, insider — resta aperto. Il flusso di TrueConf si basava su fiducia cieca nel server. Nessun controllo sig, nessun hash. Errore da principianti per gear ‘enterprise’.
Parallelo storico che nessuno nomina? Shadow Brokers che buttano tool NSA anni fa, ma ribaltato: attori statali ora possiedono routinariamente le supply chain. Non è magia zero-day; è ops security 101 abusata contro vendor approssimativi.
TrueConf è ancora sicuro dopo la patch?
Patched? Certo, la versione 8.5.3 chiude il buco. Ma l’erosione della fiducia è per sempre. Governi che scandagliano alternative ora, ci scommetto. Perché rischiare quando i rivali vantano controlli migliori?
Ecco il punto — la nicchia di TrueConf era ‘autonomia e privacy’. Post-TrueChaos, è scheggia PR. Gireranno ‘lezioni apprese’, ma gli utenti ricordano le violazioni, non le fix.
E gli attaccanti? Cinesi, secondo gli IOC di Check Point. Non sorprende — target asiatici, mestiere statale. Ma scalatelo: e se colpiscono next on-prem NATO?
Boccone medio: Vendor, datevi una mossa. I client meritano code signing, minimo.
Pensiero vagabondo: il buzzword ‘zero-trust’ vola in giro, ma questo? Puro abuso di fiducia. Divertente come funziona.
Perché conta per la tua org?
Non un gov? Ripensaci. TrueConf è anche in infra critiche. Se il tuo team è su VC on-prem simile — RingCentral, Jitsi, qualunque — audita quegli update. Server come hub update? Bandiera rossa.
Spin unico: questo prevede un boom di servizi ‘update verificati’. Qualche startup lo monetizzerà, i VC impazziranno. Intanto, la vera security è noiosa: patch management, anomaly detection.
La scadenza CISA incombe. Ignorala, unisciti al club degli sfruttati.
Deep dive in sei frasi: La catena d’attacco è elegante — comprometti server (phish IT? Insider?), modifica pacchetto, aspetta che i client controllino. Nessun exploit rumoroso, solo pazienza. DLL side-load dell’impianto? Trucco vecchio, evergreen. Havoc C2? Open-source, rinnegabile. Attori cinesi che salgono di livello su tool occidentali. Il tuo SIEM lo cattura? Probabilmente no, se tarato per cloud.
Pugile: Abbandonate gli update ciechi.
🧬 Related Insights
- Read more: Honeypots Snag Vite Probes Hunting AWS Keys on Exposed Dev Servers
- Read more: Casbaneiro Gang’s Sneaky Dynamic PDFs Hit Enterprises in LatAm and Europe
Frequently Asked Questions
Che cos’è il zero-day TrueConf CVE-2026-3502?
È una falla che permette agli attaccanti di eseguire codice tramite update non verificati dal server on-prem. Fixata nella 8.5.3.
Chi ha sfruttato TrueConf negli attacchi governativi?
Hacker cinesi, secondo Check Point, mirati a enti asiatici tramite un server centrale compromesso.
TrueConf è sicuro per reti air-gapped ora?
I client patchati sì, ma audita la tua configurazione — i server possono ancora essere punti d’ingresso.
