Nel 2025 l’Ucraina è stata colpita da un nuovo malware di tipo data wiper chiamato PathWiper, che ha preso di mira infrastrutture critiche secondo le analisi di Cisco Talos. L’attacco si è distinto per l’utilizzo di un framework di amministrazione endpoint legittimo, suggerendo che i criminali informatici avevano accesso diretto alla console di amministrazione e hanno sfruttato questa posizione privilegiata per distribuire PathWiper su vari endpoint connessi. Questo modus operandi è tipico di gruppi APT con legami russi, già protagonisti di precedenti campagne distruttive contro l’Ucraina.

Il malware PathWiper viene distribuito eseguendo file batch che attivano uno script Visual Basic nella cartella TEMP di Windows, denominato “uacinstall.vbs”. Questo script installa il file binario del wiper, “sha256sum.exe”, e lo esegue per avviare la distruzione dei dati. Le azioni e i nomi dei file sono stati accuratamente scelti per imitare quelli utilizzati dal software amministrativo, dimostrando una profonda conoscenza dell’ambiente IT della vittima.

PathWiper analizza tutte le unità di archiviazione collegate, sia fisiche che di rete, e per ognuna avvia un thread che sovrascrive i dati con byte casuali. Tra i bersagli principali ci sono elementi chiave come Master Boot Record, MFT, LogFile e altri file di sistema essenziali, oltre a cancellare in modo irreversibile i file dai dischi e tentare di smontare i volumi. Sebbene PathWiper presenti alcune similitudini con HermeticWiper, celebre malware emerso durante l’invasione russa del 2024, le tecniche di corruzione dei dati presentano differenze significative.

Altri gruppi attivi nell’area post-sovietica

Parallelamente, la scena del cybercrime nell’area post-sovietica vede l’attività di altri gruppi come Silent Werewolf, che nel 2025 ha condotto campagne malware contro aziende in Moldavia e Russia impiegando tecniche di phishing sofisticate e loader di tipo DLL sideloading. In Russia inoltre si segnala una nuova ondata di attacchi da parte del gruppo hacktivista pro-Ucraina BO Team, noto per sabotaggi, ransomware e data breach condotti tramite framework di post-exploitation e attacchi phishing ben orchestrati. BO Team si distingue dagli altri gruppi hacktivisti per l’ampio uso di malware personalizzati e per l’assenza di legami stabili con altre realtà simili, rivendicando pubblicamente le proprie azioni tramite il proprio canale Telegram.

Il panorama delle minacce in Europa dell’Est mostra così un’evoluzione continua di malware wiper e un crescente ricorso a strumenti avanzati di attacco sia da parte di gruppi statali sia di hacktivisti, con una pressione costante sulle infrastrutture critiche e sulle aziende strategiche della regione.