Le organizzazioni ucraine sono recentemente state bersaglio di sofisticati attacchi informatici da parte di gruppi hacker di origine russa. Queste campagne hanno avuto come obiettivo principale l’esfiltrazione di dati sensibili e il mantenimento di un accesso persistente alle reti compromesse. L’attività investigata, secondo un report di Symantec e Carbon Black Threat Hunter Team, si è concentrata su una grande azienda di servizi business per due mesi e su un ente governativo locale per una settimana.

Tecniche di attacco e strumenti utilizzati

Gli attacchi si sono distinti per l’uso di tecniche living-off-the-land, che prevedono l’utilizzo di strumenti legittimi già presenti nei sistemi Windows, e di tool dual-use, riducendo così le tracce digitali e aumentando la capacità di restare inosservati. L’accesso iniziale è stato ottenuto tramite l’installazione di web shell su server esposti online, sfruttando probabilmente vulnerabilità non ancora patchate. Una delle web shell impiegate è LocalOlive, già associata in passato al gruppo Sandworm e progettata per veicolare payload come Chisel, plink e rsockstun.

Fasi della compromissione

La compromissione è iniziata con attività sospette già dal 27 giugno 2025, con la creazione di web shell e azioni di ricognizione. Gli attaccanti hanno lanciato comandi PowerShell per escludere la cartella Download dalla scansione dell’antivirus Microsoft Defender e hanno schedulato dump di memoria ogni 30 minuti. Nel corso delle settimane successive, sono state eseguite varie attività malevole tra cui il salvataggio di copie del registro di sistema, l’installazione di ulteriori shell, la scansione di directory utente e l’esecuzione di file sospetti come service.exe e cloud.exe.

Strumenti legittimi e minimizzazione delle tracce

È emerso anche l’utilizzo di strumenti legittimi come winbox64.exe, già segnalato in precedenti campagne Sandworm contro fornitori di energia e acqua in Ucraina. Gli investigatori hanno riscontrato la presenza di diversi backdoor PowerShell e file eseguibili sospetti, probabilmente malware, anche se non è stato possibile ottenere tutti gli artefatti per un’analisi dettagliata. La strategia degli attaccanti si è basata sull’impiego minimo di malware vero e proprio, prediligendo strumenti nativi di Windows e software dual-use per rubare credenziali e informazioni, lasciando un’impronta digitale minima.

Evoluzione delle minacce e nuove vulnerabilità

Parallelamente, si è registrato un aumento degli attacchi che sfruttano la vulnerabilità CVE-2025-8088 di WinRAR, veicolando archivi RAR che installano malware tramite file HTA senza interazione dell’utente. Le indagini hanno anche evidenziato come il panorama cybercriminale russo subisca un’evoluzione, con un controllo crescente da parte delle autorità e una crescente decentralizzazione delle attività per eludere la sorveglianza occidentale e interna.