Per il periodo compreso tra ottobre 2024 e marzo 2025, l’ultimo Apt Activity Report pubblicato da Eset traccia un quadro in netto peggioramento sul fronte della cybersecurity globale. Il report evidenzia la crescente pericolosità di gruppi Apt (Advanced Persistent Threat) legati a Russia, Cina, Corea del Nord e Iran, le cui attività si concentrano su spionaggio, sabotaggio e furti a danno di istituzioni pubbliche, aziende strategiche e infrastrutture critiche, con un’elevata incidenza in Ucraina ed Europa. Le informazioni raccolte da Eset attraverso il suo sistema di telemetria proprietaria sono integrate nei report Apt Reports Premium, rivolti alle organizzazioni che devono proteggere infrastrutture critiche e asset strategici e la piattaforma offre un’intelligence sia tattica sia strategica, aggiornata regolarmente, per supportare la difesa proattiva contro minacce provenienti da attori statali e cybercriminali.
In primo piano, tra le criticità, vi sono le operazioni di Sandworm, gruppo affiliato all’intelligence militare russa (Gru), che ha intensificato gli attacchi alle infrastrutture energetiche ucraine con un nuovo malware wiper denominato Zerolot. Questo malware, progettato per la distruzione irreversibile dei dati, è distribuito tramite group policy di Active Directory, e cancella file critici da unità logiche sfruttando Api di basso livello come DeviceIoControl per alterare la struttura fisica dei dischi. Quasi a voler tenere testa, Gamaredon – considerato tra i gruppi Apt più prolifici contro l’Ucraina – ha introdotto il file stealer PteroBox, in grado di esfiltrare documenti riservati tramite l’infrastruttura cloud di Dropbox. Le campagne di spearphishing, sempre più frequenti, includono tecniche di Html, smuggling, payload obfuscati e strumenti come mshta.exe e script VB evasivi.
Exploit zero-day e spionaggio tecnico
In parallelo, il gruppo Sednit (Apt28) ha perfezionato le tecniche di sfruttamento di vulnerabilità cross-site scripting (Xss) in diversi servizi webmail, espandendo la sua campagna RoundPress da Roundcube a MDaemon, Horde e Zimbra. Di particolare rilievo è l’uso di una vulnerabilità zero-day in MDaemon Email Server (CVE-2024-11182), documentata per la prima volta proprio da Eset e impiegata in attacchi contro aziende ucraine. RomCom, altro gruppo affiliato alla Russia, ha invece sfruttato due vulnerabilità zero-day – in Mozilla Firefox (Cve-2024-9680) e Microsoft Windows (Cve-2024-49039) – per colpire con precisione obiettivi istituzionali. Si tratta di exploit sofisticati che hanno permesso l’esecuzione di codice malevolo senza interazione dell’utente, confermando l’elevato livello tecnico e l’accesso a risorse avanzate da parte di questo attore.
Espionage esteso dal fronte orientale
Il fronte orientale ha per protagonisti i gruppi cinesi, che continuano a portare avanti campagne di cyber-spionaggio contro enti governativi e aziende europee, in particolare nei settori dei trasporti marittimi, dell’energia e della pubblica amministrazione. Mustang Panda si conferma il più attivo, con un uso esteso di Usb infette e loader Korplug in diversi linguaggi (Delphi, Go, Nim), osservati in Norvegia, Regno Unito, Bulgaria e Grecia. Il gruppo DigitalRecyclers, invece, continua a operare sotto copertura utilizzando backdoor come RClient e HydroRShell e reti di anonimizzazione come Kma Vpn. Altro attore attivo è PerplexedGoblin, che impiega la backdoor NanoSlate contro un governo dell’Europa centrale. SoftEther Vpn si conferma invece strumento diffuso tra i gruppi Apt cinesi, come dimostrato dall’attacco di Webworm a un’organizzazione governativa serba.
Corea del Nord, obiettivi finanziari
In Asia, la Corea del Nord emerge per operazioni a forte impatto economico. Il gruppo DeceptiveDevelopment ha ampliato la propria attività indirizzandosi verso sviluppatori e aziende nel settore crypto e blockchain. Tramite offerte di lavoro fittizie e tecniche di social engineering – come gli attacchi ClickFix – ha distribuito il malware WeaselStore, capace di sottrarre credenziali e dati sensibili da sistemi Windows, MacOs e Linux.
Di grande rilevanza è poi il furto di criptovalute da 1,5 miliardi di dollari ai danni della piattaforma Bybit, attacco che l’Fbi ha attribuito al gruppo TraderTraitor. In questo caso, la compromissione è avvenuta a monte, sfruttando una vulnerabilità nella catena di fornitura di Safe{Wallet}, utilizzata da Bybit per la gestione dei cold wallet.
Iran, spionaggio regionale e collaborazione
Le attività iraniane si concentrano principalmente nel Medio Oriente. Il gruppo MuddyWater resta tra i più attivi, con tecniche basate su software di gestione remota (Rmm) e spearphishing. È interessante notare come MuddyWater abbia operato in sinergia con Lyceum – sottogruppo di OilRig – per violare un’organizzazione israeliana del settore manifatturiero, evidenziando una crescente collaborazione tra gruppi APT sotto l’ombrello iraniano. CyberToufan, altro attore affiliato, ha invece condotto operazioni distruttive in Israele, impiegando il wiper FlashFlood, un malware propagandistico associato all’attacco di Hamas del 2023. Le modalità di attacco confermano l’intento politico e simbolico oltre che distruttivo.
Le tendenze emergenti
Il report evidenzia una tendenza trasversale all’uso di tecniche di spear phishing sempre più raffinate, vulnerabilità zero-day non ancora patchate, strumenti legittimi per il controllo remoto e metodi di anonimizzazione dei canali command & control.
L’utilizzo massivo di strumenti comuni come Dropbox, SoftEther Vpn e GitHub rende più difficile per i team di sicurezza individuare comportamenti anomali nei flussi di rete.
Come osserva Jean-Ian Boutin, director of Threat Research di Eset: “Le operazioni documentate rappresentano solo una frazione del panorama Apt monitorato da Eset. Tuttavia, offrono uno spaccato chiaro delle evoluzioni in corso e della crescente sofisticazione degli attacchi”.
© RIPRODUZIONE RISERVATA
