Una nuova campagna di furto credenziali è stata collegata al gruppo APT28, noto anche come BlueDelta, con obiettivi mirati in ambiti sensibili come energia, ricerca nucleare e organizzazioni di policy. Le vittime includono persone legate a una agenzia turca di ricerca energetica e nucleare, personale di un think tank europeo e realtà in Macedonia del Nord e Uzbekistan. La scelta di esche in lingua turca e materiali contestualizzati per area geografica indica un lavoro di personalizzazione pensato per aumentare la credibilità delle comunicazioni e migliorare il tasso di successo del phishing.
La tecnica principale è il credential harvesting tramite pagine di login false che imitano servizi molto usati in contesti aziendali, tra cui Microsoft Outlook Web Access, Google e portali VPN Sophos. Un elemento che rende la campagna più insidiosa è il reindirizzamento automatico verso i siti legittimi dopo l’inserimento delle credenziali nella pagina contraffatta. In questo modo l’utente può non accorgersi dell’anomalia, riducendo i segnali di allarme e rendendo più difficile la rilevazione immediata da parte dei team di sicurezza.
Per ospitare le pagine di phishing, gestire la raccolta dati e orchestrare i reindirizzamenti, gli attaccanti hanno abusato di servizi e infrastrutture legittime come Webhook.site, InfinityFree, Byet Internet Services e ngrok. Questa scelta consente di creare ambienti “usa e getta”, rapidi da attivare e difficili da bloccare in modo definitivo, sfruttando domini e piattaforme che possono apparire innocue nei controlli superficiali.
La catena di attacco descritta include email di phishing con link abbreviati che portano a un primo passaggio su webhook, dove viene mostrato per pochi secondi un documento esca, spesso un PDF reale pubblicato da organizzazioni legittime. Subito dopo, la vittima viene indirizzata a una seconda pagina che replica il login Microsoft OWA. All’interno, un elemento HTML nascosto e script JavaScript inviano un segnale di apertura pagina, trasmettono le credenziali inserite a un endpoint webhook e infine riportano l’utente al PDF sul sito autentico, aumentando la plausibilità dell’interazione.
Sono state osservate anche varianti della campagna con falsi reset password Sophos VPN e Google, con esfiltrazione dei dati tramite ngrok e reindirizzamenti verso portali reali di organizzazioni bersaglio. Il quadro evidenzia come il furto credenziali resti una strategia a basso costo e alto rendimento, particolarmente efficace contro enti collegati a ricerca energetica, cooperazione difensiva e reti di comunicazione governative.