Secondo un recente rapporto un gruppo di hacker affiliato alla Russia avrebbe avviato una nuova sofisticata operazione di phishing rivolta a diplomatici europei, utilizzando come esca inviti falsi a eventi enogastronomici. Secondo Check Point Research, si tratterebbe del gruppo APT29, che ha cercato di fingersi un importante Ministero degli Esteri europeo per spedire email contenenti inviti ad alcune degustazioni di vini. Lo scopo sarebbe stato quello di indurre i destinatari a cliccare su un link che installa Grapeloader, ovvero un malware di tipo backdoor. Per backdoor si intende qualsiasi metodo con cui gli utenti autorizzati e non autorizzati sono in grado di aggirare le normali misure di sicurezza e ottenere un accesso utente di alto livello (alias accesso root) su un sistema informatico, una rete o un’applicazione software.
Questa campagna, spiega l’azienda specializzata in sicurezza informatica, avrebbe colpito soprattutto strutture diplomatiche europee, comprese ambasciate di Paesi extra-Ue presenti sul territorio europeo. Le email truffaldine includevano oggetti come: “Degustazione di vini (nuova data)”, “Per l’agenda dell’ambasciatore”, oppure “Cena diplomatica”.
APT29, conosciuto anche come Midnight Blizzard, Cozy Bear o Dukes, è ritenuto parte dell’SVR, uno dei principali servizi segreti russi, secondo quanto dichiarato lo scorso anno dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, così come riporta foxnews.com.
Check Point precisa che APT29 è già noto per avere preso di mira istituzioni governative, think tank e altri obiettivi ad alto profilo, con operazioni che spaziano dal phishing mirato ad attacchi informatici contro le catene di fornitura, facendo uso di malware sia su misura che disponibili sul mercato. Questa nuova campagna, partita a gennaio 2025, avrebbe preso di mira in particolare i Ministeri degli Esteri di diversi Paesi europei, ma anche rappresentanze diplomatiche di Stati non europei presenti nel continente. Sono stati rilevati anche attacchi isolati in altre aree, come il Medio Oriente.
Nel caso in cui il primo tentativo di inganno non fosse andato a buon fine, gli hacker avrebbero rinviato nuove ondate di email, nel tentativo di aumentare la probabilità che il bersaglio cadesse nella trappola. Il server su cui si trovava il link malevolo risulta essere progettato per eludere i sistemi di sicurezza automatizzati. Il download del virus veniva attivato solo in specifiche condizioni, come l’orario di accesso o l’area geografica del destinatario. Se qualcuno cercava di aprire direttamente il link, veniva reindirizzato al vero sito web del Ministero che gli hacker stavano imitando, a ulteriore conferma della sofisticazione dell’operazione.
