Nel panorama della sicurezza informatica emergono nuove minacce che sfruttano infrastrutture e tattiche sempre più sofisticate. Tra queste si distinguono i gruppi denominati TA829 e UNK_GreenSec, protagonisti di campagne malware che condividono tecniche e risorse. TA829 è noto anche con altri nomi come Nebulous Mantis e Storm-0978, ed è riconosciuto per la sua doppia natura: conduce sia operazioni di spionaggio sia attacchi a fini economici, spesso legati a interessi russi. Questo gruppo è stato collegato allo sfruttamento di vulnerabilità zero-day in Mozilla Firefox e Microsoft Windows, utilizzando il malware RomCom RAT per colpire bersagli a livello globale.

Similitudini tra TA829 e UNK_GreenSec

La società Proofpoint ha individuato forti similitudini tra le operazioni di TA829 e quelle di UNK_GreenSec, in particolare nell’uso di infrastrutture condivise, tattiche di consegna e tematiche delle email di phishing. UNK_GreenSec è stato identificato durante un’indagine su TA829 e si caratterizza per l’impiego del loader TransferLoader, già noto per essere stato utilizzato in campagne contro studi legali americani tramite il ransomware Morpheus.

Utilizzo di servizi REM Proxy

Entrambi i gruppi fanno affidamento su servizi REM Proxy, spesso installati su router MikroTik compromessi, per celare le loro attività e rendere anonimo il traffico verso le vittime. Le modalità di compromissione di questi dispositivi non sono ancora note, ma si suppone vengano noleggiati per facilitare l’invio massivo di email di phishing tramite account appositamente creati.

Tecniche di attacco tramite email e download

Le campagne sfruttano email che inducono le vittime a cliccare su link, spesso mascherati da documenti PDF o offerte di lavoro. Questi link reindirizzano attraverso servizi come Rebrandly verso pagine contraffatte di Google Drive o OneDrive, capaci di filtrare gli accessi indesiderati e proseguire solo con i target di interesse. Da qui, le catene di attacco si biforcano: TA829 distribuisce il malware SlipScreen, mentre UNK_GreenSec consegna TransferLoader.

Catena di infezione e payload distribuiti

SlipScreen agisce come loader di primo livello, caricando in memoria shellcode e comunicando con server remoti solo se rileva un certo numero di documenti recenti nel sistema della vittima. Questa infezione conduce poi all’installazione di downloader come MeltingClaw o RustyClaw, che a loro volta scaricano altri backdoor come ShadyHammock e DustyHammock, utilizzati per attacchi avanzati e distribuzione di nuovi payload tramite la rete IPFS.

Possibili legami tra i gruppi e sfide di attribuzione

La sovrapposizione tra TA829 e UNK_GreenSec suggerisce una possibile collaborazione, la condivisione di provider terzi o addirittura che possano essere lo stesso gruppo con nuovi strumenti. Questa convergenza tra cybercrime e spionaggio rende sempre più difficile distinguere le attività criminali da quelle statali, complicando l’attribuzione degli attacchi e la difesa delle aziende.