Un recente attacco informatico mirato alla raccolta di informazioni sensibili ha preso di mira il governo del Tagikistan sfruttando documenti Word armati con macro dannose. L’operazione, attribuita al gruppo di cyber spionaggio noto come TAG-110, collegato alla Russia, segna una significativa evoluzione nelle tecniche di attacco adottate dal gruppo. In passato, TAG-110 utilizzava un loader basato su applicazioni HTML (HTA), chiamato HATVIBE, distribuito tramite allegati spear-phishing. Tuttavia, dal gennaio 2025, il gruppo ha abbandonato questa metodologia a favore di modelli Word (.DOTM) con macro abilitate, segnando una svolta nelle strategie operative.

Attività di spionaggio mirate e obiettivi

Gli esperti di sicurezza informatica hanno individuato la campagna come parte di una più ampia attività di spionaggio rivolta specificamente a enti pubblici, istituzioni educative e centri di ricerca del Tagikistan. L’obiettivo principale di queste operazioni è raccogliere intelligence utile a influenzare la politica e la sicurezza della regione, specialmente in momenti delicati come elezioni o crisi geopolitiche.

Profilo del gruppo TAG-110

TAG-110, conosciuto anche come UAC-0063, è attivo almeno dal 2021 ed è responsabile di attacchi contro ambasciate europee e organizzazioni in Asia centrale. Il gruppo condivide alcune tattiche con APT28, un altro team di hacker sostenuto dallo stato russo. In passato, TAG-110 aveva diffuso malware come DownEx, LOGPIE e CHERRYSPY colpendo governi di Kazakhstan, Afghanistan e Ucraina.

Nuove tecniche di attacco e funzionamento

La nuova campagna individuata contro il Tagikistan si basa sull’invio di e-mail di phishing che presentano documenti tematici riconducibili al governo locale. Questi documenti, se aperti e con macro attivate, sfruttano un codice VBA che posiziona una template globale nella cartella di avvio di Word, garantendo l’esecuzione automatica del payload malevolo ad ogni avvio del programma. Da qui, il sistema infetto stabilisce una comunicazione con un server di comando e controllo, pronto a ricevere ulteriori istruzioni o nuovi codici dannosi.

Strumenti e finalità dell’attacco

Sebbene la natura dei payload di seconda fase rimanga spesso ignota, sulla base delle attività storiche di TAG-110 è ragionevole ipotizzare che l’accesso iniziale venga sfruttato per installare ulteriori malware specializzati in spionaggio. Tra questi, HATVIBE, CHERRYSPY e LOGPIE rappresentano alcuni dei principali strumenti utilizzati per mantenere il controllo delle macchine compromesse e sottrarre informazioni sensibili.

L’utilizzo di documenti ufficiali compromessi come vettori di attacco rappresenta una delle tecniche preferite da TAG-110, poiché aumenta la probabilità che le vittime aprano i file e abilitino le macro, innescando così l’infezione.