01 ·
Monitoraggio infrastrutture offensive
Scansione continuativa di domini di nuova registrazione, certificati SSL anomali, porte aperte con fingerprint C2 noti. Identifichiamo infrastrutture prima che vengano impiegate in attacco.
34.000 indicatori ogni settimana. Applicabili immediatamente.
Fortgale produce il proprio Feed di Intelligence su domini di phishing, server C2, malware e ransomware — interamente prodotti e validati dal team analitico prima di ogni pubblicazione. Oltre 200 entità monitorate in tempo reale.
Fortgale · ioc-feed.sh
Live stream
10:42:18PHISHINGlogin-acme[.]365-secure[.]netVALID
10:42:09C2 · CSupdate-cdn[.]global · WM 1580103824VALID
10:41:54STEALERLumma · IT-cluster-047VALID
10:41:32RANSOMLockBit · leak.lockbit[.]onionVALID
10:41:18PHISHINGm1cr0s0ft-verify[.]net · EvilginxVALID
10:41:02C2 · BRapi-status[.]xyz · BruteRatelVALID
10:40:48LOADERMatanbuchus 3.0 · campagna ITVALID
10:40:31PHISHINGworkspace-recovery[.]xyz · GreatnessVALID
Conformità
NIS2 ready
DORA
ISO 27001
GDPR
Standard di scambio
STIX/TAXII 2.1
JSON / REST API
CSV
MISP-compatible
Cosa rende il Feed diverso
Intelligence prodotta, non aggregata.
Mentre altri vendor rivendono feed di terzi (VirusTotal, Recorded Future, Mandiant), Fortgale produce intelligence originale dalle proprie analisi.
02 ·
Validazione ad alta fedeltà
Ogni IOC è validato dal team analitico prima della pubblicazione: verifica della natura malevola, deduplicazione, scoring di confidenza, contestualizzazione con campagna o threat actor.
03 ·
Aggiornamento continuo, non a batch
Il feed si aggiorna in tempo reale: ogni nuovo IOC validato è pubblicato immediatamente, riducendo la finestra tra identificazione e applicazione difensiva.
Proof · scala del Feed
Quattro numeri che reggono il Feed.
34 000
IOC settimanali
validati e pubblicati
validati e pubblicati
200+
Entità monitorate
(threat actor, malware, kit)
(threat actor, malware, kit)
~18k
Domini phishing
per settimana
per settimana
~16k
C2 e malware IOC
per settimana
per settimana
Categorie del Feed
Quattro categorie · una sola pipeline.
Phishing kit · ~18k
Phishing & kit
Domini di phishing, kit Evilginx/Modlishka/Muraena/W3LL Panel/Greatness, infrastrutture AiTM. Aggiornamento real-time.
C2 · ~16k
C2 & infrastrutture
Server CobaltStrike, BruteRatel, Havoc, Sliver, Nighthawk, Metasploit. Watermark, beacon config, JARM fingerprint.
Stealer · loader
Infostealer & malware
Lumma, RedLine, Vidar, Raccoon, MetaStealer, RisePro, Stealc, loader (Matanbuchus, GuLoader, PrivateLoader, IcedID), RAT (AsyncRAT, Remcos, NjRAT, XWorm).
Ransomware
Ransomware & leak
IOC e infrastrutture di LockBit, BlackCat/ALPHV, RansomHub, Cl0p, Akira, Black Basta, Play, Qilin, Medusa. Leak site monitoring.
Formati e integrazioni
Distribuzione vendor-agnostic.
Il Feed è disponibile in tre formati standard. Compatibile con i principali stack di security operations.
Standard CTI
STIX/TAXII 2.1
Formato standard de facto per la condivisione di threat intelligence. Pull periodico o push real-time. OpenCTI native.
REST API
JSON · REST
Endpoint REST con autenticazione token. Filtri per tipo, severità, settore, periodo. Ideale per integrazione custom in SIEM/SOAR.
Bulk
CSV · MISP
Export CSV per ingestion offline. Compatibile MISP per le organizzazioni che usano la piattaforma open di threat sharing.
Integrazioni native
Microsoft SentinelSplunk ESIBM QRadarCrowdStrike FalconSentinelOnePalo Alto XSOARMISPFortinet FortiSIEMCheck Point
Come viene prodotto il Feed
Sei passi · da scan globale a IOC nello stack del cliente.
01
Monitoraggio infrastrutture offensive
Scansione continuativa di domini di nuova registrazione, certificati SSL anomali, porte aperte con fingerprint di C2 noti per identificare infrastrutture prima dell'uso operativo.
02
Correlazione & attribuzione
Pipeline analitica con enrichment automatico: collegamento di domini, IP, certificati, hash a campagne note. Sovrapposizioni infrastrutturali tra gruppi.
03
Validazione ad alta fedeltà
Ogni IOC è validato dal team analitico prima della pubblicazione: verifica della natura malevola, deduplicazione, scoring di confidenza, contestualizzazione.
04
Aggiornamento in tempo reale
Il feed si aggiorna in tempo reale: ogni nuovo IOC validato è pubblicato immediatamente, riducendo la finestra tra identificazione e applicazione difensiva.
05
Contestualizzazione MITRE
Ogni IOC è arricchito con TTP MITRE ATT&CK, threat actor associato, settore target, periodo di osservazione. Più di un IOC: un punto di intelligence.
06
Applicazione automatica difensiva
Auto-applicato ai clienti SOC Fortgale come Custom Threat Intelligence. Per i clienti standalone, distribuito via STIX/TAXII/REST API al loro stack.
Difesa integrata
Il Feed alimenta tutto lo stack.
Strategico
Cyber Threat Intelligence
Profili strutturati di 180+ attori, campagne attive, advisory verticali, dark web monitoring.
Scopri CTI →C2 deep dive
Tracking C2
Approfondimento sul tracking di server CobaltStrike, BruteRatel, Havoc, Metasploit: watermark, config, attribuzione.
Scopri tracking C2 →Operativo · SOC
Managed Detection & Response
Le regole di detection del SOC sono alimentate dal Feed. Ogni IOC validato è applicato in tempo reale.
Scopri MDR →FAQ
Tutto quello che serve sapere prima di richiedere il Feed.
Come vengono generati gli IOC del Feed Fortgale?
Attraverso analisi continuativa di infrastrutture offensive condotta internamente: analisi di domini di phishing, C2 noti (CobaltStrike, BruteRatel, Matanbuchus, Lumma), campagne ransomware e phishing kit. Ogni IOC è validato pre-pubblicazione per alta fedeltà.
Quanti indicatori produce ogni settimana?
Oltre 34.000 settimanali (~18k phishing + ~16k malware/C2). Il volume varia in base all'attività delle campagne in corso.
Quali threat actor e malware monitorate?
Oltre 200 entità: framework C2 (CobaltStrike, BruteRatel, Sliver, Havoc, Nighthawk), infostealer (Lumma, RedLine, Vidar, Raccoon, MetaStealer, RisePro, Stealc), ransomware (LockBit, BlackCat/ALPHV, Clop, RansomHub, Akira, Black Basta, Play, Qilin), loader (Matanbuchus, GuLoader, PrivateLoader, DBatLoader, IcedID), phishing kit (W3LL Panel, Greatness, Evilginx).
Come si integra con i sistemi di sicurezza?
STIX/TAXII 2.1, JSON via REST API, CSV. Compatibile con Microsoft Sentinel, Splunk, IBM QRadar, CrowdStrike Falcon, SentinelOne, Palo Alto, Fortinet, Check Point. Aggiornamento continuo, applicabile automaticamente alle regole di detection.
Disponibile come standalone o solo con SOC Fortgale?
Entrambi. Componente del SOC/MDR Fortgale (auto-applicato) o standalone per team che già hanno una piattaforma di sicurezza propria.
Accesso al Feed
34.000 indicatori la settimana scorsa. Quanti ne avete applicati?
Il Feed di Intelligence Fortgale porta nel vostro stack di sicurezza l'intelligence su phishing, C2, malware, ransomware e infostealer che il team interno non riesce a produrre — validata, aggiornata in tempo reale, pronta all'uso.