01 ·
Identificazione tramite fingerprinting attivo
Scansione globale di porte e certificati SSL con caratteristiche note dei Team Server. Header HTTP del Beacon, JARM fingerprint, pattern listener.
Sappiamo dove si nascondono i server degli attaccanti.
Fortgale identifica e monitora quotidianamente oltre 800 server CobaltStrike attivi nel mondo. Acquisisce configurazioni, watermark e profili — trasformando l'infrastruttura offensiva in intelligence per la difesa.
Standard CTI
STIX/TAXII 2.1
MITRE ATT&CK
ISO 27001
Tecniche tracking
JARM
Malleable C2 Profile
Watermark correlation
Perché tracciare i C2
Da IOC isolato a profilo attaccante.
Un IP malizioso isolato è un alert. Un IP correlato a un watermark, una campagna e un attore noto è intelligence operativa.
02 ·
Watermark = identità attaccante
Per ogni Team Server: estrazione di watermark di licenza, payload type, sleep, jitter, Malleable Profile. Il watermark correla campagne diverse allo stesso operatore.
03 ·
Da IOC a profilo intelligence
Non solo IP/domini: profilo strutturato dell'attaccante (cluster, gruppo, TTP, sovrapposizioni infrastrutturali) integrato negli alert SOC.
Proof · scala del tracking
Quattro numeri che reggono il C2 tracking.
800+
Server C2 CobaltStrike
attivi ogni giorno
attivi ogni giorno
1.000+
Nuovi server identificati
ogni trimestre
ogni trimestre
4
Framework monitorati
CobaltStrike · BruteRatel · Havoc · Metasploit
CobaltStrike · BruteRatel · Havoc · Metasploit
100 %
Configurazioni acquisite
per ogni server identificato
per ogni server identificato
Pipeline di profilazione
Quattro passi · da scan globale a intelligence operativa.
01 · Detect
Identificazione server
Scansione globale con fingerprinting attivo: porte, certificati SSL, JARM, header HTTP del Beacon, pattern listener.
02 · Extract
Acquisizione configurazione
Ogni Team Server viene interrogato. Estrazione di watermark, payload type, sleep time, jitter, named pipe, DNS beacon, Malleable C2 Profile.
03 · Correlate
Correlazione & attribuzione
Il watermark è l'impronta digitale dell'operatore: stesso watermark su server diversi → stesso attaccante. Sovrapposizioni infrastrutturali emergono.
04 · Operate
Intelligence operativa
Output: IOC bloccabili, profili attaccante, contesto per il SOC, threat hunting su pattern già osservati. Distribuito via STIX/TAXII.
beacon_config_extract.jsonCobaltStrike · WM 1580103824
{
"BeaconType": "HTTPS",
"Port": 443,
"SleepTime": 60000,
"Jitter": 20,
"MaxGetSize": 1403644,
"Watermark": 1580103824,
"C2Server": "update-cdn[.]global,/dpixel",
"HttpPostUri": "/submit.php",
"MallProfile": "amazon",
"UserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
"NamedPipe": "\\pipe\\msagent_*",
"DnsBeacon": "",
"SpawnTo": "svchost.exe"
// → Watermark correlato a campagna IT-2025-047
// → Attribuzione: cluster ransomware A
}Altri framework C2
Oltre a CobaltStrike, tre framework critici.
CobaltStrike non è solo. BruteRatel, Havoc e Metasploit sono in crescita tra criminali e APT.
Criminale & APT
BruteRatel C4
Commerciale, alternativa a CobaltStrike. Adottato da Black Basta + APT. EDR bypass nativo, AMSI bypass, direct syscall, sleep obfuscation.
APT nation-state
Havoc Framework
Open source, in crescita tra nation-state. Demon Agent, Reflective DLL, Sleep obfuscation, process injection, HTTPS/SMB/DNS.
Criminali / opportunist
Metasploit
Pen-test framework. Usato per post-exploitation da operatori criminali. Meterpreter, reverse shell, staged payload, post-exploitation modules.
Applicazione difensiva
Sei modi in cui il C2 tracking protegge.
01
IOC diretti applicabili
IP, domini, certificati dei C2 attivi distribuiti via STIX/TAXII al SIEM/EDR/firewall del cliente. Bloccabili preventivamente prima di un attacco.
02
Contesto negli alert SOC
Quando un alert correla un IP a un C2 noto, il SOC riceve profilo dell'attaccante: gruppo, settore target tipico, TTP, sovrapposizioni.
03
Threat hunting proattivo
Pattern di beacon, sleep, jitter, named pipe già osservati diventano hunting query. Caccia attiva su infrastrutture clienti.
04
Early warning campagne
Quando un nuovo cluster C2 emerge contro un settore, i clienti del settore ricevono advisory dedicato.
05
Report su threat actor
Profili tecnici degli attori che usano il framework: watermark, infrastrutture, TTP MITRE-mapped, settori target, attribuzione.
06
Incident Response accelerata
Durante un IR: l'identificazione del framework C2 e del watermark velocizza l'attribuzione e il contenimento.
Difesa integrata
Il C2 tracking alimenta tutto lo stack.
Operativo
Feed di Intelligence
34k+ IOC settimanali, di cui ~16k da C2 e malware tracking. Distribuito via STIX/TAXII al SIEM/EDR.
Scopri il Feed →Strategico
Cyber Threat Intelligence
Profili strutturati di 180+ attori con watermark, infrastrutture e sovrapposizioni osservate.
Scopri CTI →Operativo · SOC
Managed Detection & Response
Le regole di detection del SOC sono alimentate dai C2 tracciati. Triage in <15 min, contenimento ~11 min.
Scopri MDR →FAQ
Tutto quello che serve sapere prima di parlare con il team.
Come identifica Fortgale i server CobaltStrike?
Fingerprinting attivo: scansione di porte e certificati SSL con caratteristiche note dei Team Server, header HTTP del Beacon, JARM, Malleable C2 Profile. Ogni server identificato è interrogato per estrarne config completa.
Cos'è la profilazione attaccanti tramite config C2?
Il Beacon CobaltStrike contiene un watermark univoco associato alla licenza acquistata. Correlando watermark identici su server e campagne diverse → attribuzione allo stesso operatore. Le sovrapposizioni infrastrutturali tra gruppi diventano osservabili.
Perché BruteRatel è più pericoloso di CobaltStrike?
Progettato per bypassare gli EDR moderni (Defender, CrowdStrike, SentinelOne). Direct syscall, AMSI bypass, sleep obfuscation. Adottato da Black Basta e gruppi ransomware avanzati.
Quali framework C2 oltre a CobaltStrike?
BruteRatel C4, Havoc (open source, nation-state), Metasploit (post-exploitation criminali), Sliver, Nighthawk, Deimos, custom implant emergenti.
Come si usa il C2 tracking nella difesa aziendale?
Tre modalità: IOC diretti (IP/domini bloccabili preventivamente), contesto negli alert SOC (info attaccante), threat hunting proattivo (pattern beacon/config già osservate).
Ricerca · infrastrutture C2
Fortgale mappa le infrastrutture C2 dei threat actor attivi.
Domini, IP, certificati TLS, fingerprint di rete: ricerca continua sulle infrastrutture C2 osservate negli incidenti reali gestiti dai servizi Fortgale. Operation Storming Tide e altri report dettagliano le infrastrutture intercettate dal team CTI prima che colpiscano.
Phishing Kits Bypass MFA and Hijack companies's accounts in minutes
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Leggi articolo →
Investment-Targeted Phishing: How Phishing Kit Fuels Espionage in Funding Rounds
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Leggi articolo →
Operation Storming Tide: A massive multi-stage intrusion campaign
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Leggi articolo →
Behind the Wheel: Unveiling the Supercar Phishing Kit Targeting Microsoft 365
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Leggi articolo →
Espionage activities targeting European businesses
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Leggi articolo →
Nebula Broker: offensive operations made in Italy
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Leggi articolo →
C2 Tracking · Intelligence operativa
Il prossimo server CobaltStrike è già in fase di allestimento.
Fortgale lo identifica prima che venga usato in un attacco. Configurazioni, watermark, profilo dell'attaccante — tutto disponibile come intelligence operativa per il vostro team di sicurezza.