Un recente attacco di phishing avanzato collegato al gruppo APT29, affiliato allo stato russo, ha sfruttato una funzione di sicurezza dei Google account chiamata "password per app" per aggirare la verifica in due passaggi (2FA) e ottenere accesso alle caselle di posta delle vittime. Secondo Google Threat Intelligence Group e Citizen Lab, la campagna è stata estremamente mirata verso accademici di spicco e critici del governo russo, iniziando almeno da aprile 2025 e proseguendo nelle settimane successive.

Strategia di social engineering

Gli attaccanti hanno adottato una strategia di social engineering raffinata, costruendo fiducia con le vittime attraverso scambi di email credibili, spesso spacciandosi per il Dipartimento di Stato degli Stati Uniti. Il trucco consisteva nell’inviare inviti a false riunioni tramite email, con diversi indirizzi fittizi in copia per aumentare la credibilità e abbassare le difese del bersaglio. In seguito, la vittima riceveva un PDF con istruzioni dettagliate su come generare una password per app, apparentemente per accedere a un ambiente cloud del Dipartimento di Stato. Una volta ottenuto il codice di 16 cifre, gli hacker configuravano un client di posta per accedere e monitorare la casella email della vittima in modo persistente.

Debolezze delle password per app

Le password per app sono pensate per consentire l’accesso a dispositivi o applicazioni meno sicure, anche quando la 2FA è attiva. Tuttavia, questo meccanismo può rappresentare una falla se il codice viene condiviso con soggetti malevoli, come accaduto in questi attacchi. Google ha evidenziato che i messaggi iniziali erano privi di elementi di urgenza, proprio per instaurare un rapporto di fiducia e convincere la vittima a collaborare.

Tematiche e tecniche alternative

Oltre alla campagna con tema statunitense, Google ha rilevato anche un secondo filone con tematiche ucraine. Gli attaccanti utilizzavano proxy residenziali e VPS per accedere agli account e mascherare la propria attività. Google ha già intervenuto per mettere in sicurezza gli account compromessi.

Collegamenti con altre campagne APT29

Questa operazione si collega ad altre campagne recenti attribuite a APT29, in cui sono state sfruttate tecniche innovative come il phishing tramite codice device di Microsoft e l’abuso dell’OAuth per ottenere accesso illegittimo agli account Microsoft 365. In particolare, il phishing device join prevede che la vittima fornisca un codice OAuth generato da Microsoft, permettendo così agli attaccanti di registrare un proprio dispositivo all’ambiente della vittima e mantenere l’accesso.

Considerazioni sulla sicurezza

Questi attacchi dimostrano come anche le funzionalità pensate per aumentare la sicurezza possano, se sfruttate con astuzia, diventare vettori per sofisticate campagne di compromissione delle identità.