L’agenzia nazionale CERT-UA ha recentemente lanciato un allarme riguardo una sofisticata campagna di attacchi informatici condotta dal gruppo UAC-0099, che prende di mira enti governativi, forze di difesa ed aziende del settore difesa in Ucraina. Il vettore di compromissione iniziale sfruttato dagli attaccanti è il phishing, veicolato tramite email ingannevoli che simulano convocazioni giudiziarie. Queste email contengono link abbreviati attraverso servizi come Cuttly e provengono da indirizzi UKR.NET, conducendo a file doppiamente compressi contenenti un file HTA (HTML Application).

All’apertura, il file HTA esegue uno script Visual Basic offuscato che crea un’attività pianificata per mantenere la persistenza e avvia un loader chiamato MATCHBOIL, scritto in C#. Questo loader rilascia ulteriori minacce malware: MATCHWOK, un backdoor in grado di eseguire comandi PowerShell e inviare i risultati a server remoti, e DRAGSTARE, uno stealer progettato per raccogliere informazioni di sistema, dati dei browser, file sensibili come documenti Office o PDF da cartelle Desktop, Documenti e Download, screenshot e comandi PowerShell provenienti da server controllati dagli attaccanti.

Il gruppo UAC-0099 non è nuovo a queste attività: in passato aveva già sfruttato vulnerabilità di WinRAR (CVE-2023-38831), con un punteggio di gravità di 7.8, per diffondere il malware LONEPAGE. L’evoluzione delle tecniche di attacco mostra una crescente sofisticazione e un focus sullo spionaggio e la raccolta di dati sensibili.

Altre campagne collegate: Gamaredon

Parallelamente, altre campagne di spear phishing collegate al gruppo Gamaredon sono state rilevate nel 2024, caratterizzate dall’uso di archivi malevoli (RAR, ZIP, 7z) e tecniche di HTML smuggling. Gamaredon ha ampliato il proprio arsenale con nuovi strumenti malware, come PteroDespair per la ricognizione, PteroTickle per la diffusione tramite drive rimovibili, e PteroBox per il furto di file tramite Dropbox. Questi tool, spesso scritti in PowerShell o VBScript, sono pensati per garantire persistenza, movimenti laterali ed evasione dei sistemi di sicurezza.

Un elemento chiave di queste campagne è l’uso di infrastrutture di comando e controllo celate dietro servizi legittimi come Telegram, Telegraph, Codeberg e Cloudflare Tunnel, oltre a tecniche di fast-flux DNS per rendere più difficile il tracciamento delle operazioni malevole. Nonostante alcune limitazioni tecniche dei gruppi coinvolti, la continua innovazione, la frequenza delle campagne e la capacità di eludere i controlli rendono UAC-0099 e Gamaredon minacce persistenti e rilevanti per la sicurezza informatica nazionale e internazionale.