Nel maggio 2025 è stata scoperta una nuova campagna di phishing contro enti ucraini, caratterizzata dall’utilizzo di installer ESET trojanizzati. Questa offensiva, attribuita al cluster di minacce InedibleOchotense, di matrice filo-russa, sfrutta la reputazione e la diffusione del noto software di sicurezza ESET in Ucraina per aumentare il successo degli attacchi.

Gli aggressori hanno inviato email di spear phishing e messaggi su Signal impersonando ESET, con contenuti che avvisavano l’utente di presunte minacce rilevate sui loro dispositivi. Il messaggio includeva un link a un installer ESET compromesso, ospitato su domini che richiamano il brand originale come esetsmart.com, esetscanner.com e esetremover.com. L’obiettivo era indurre le vittime a scaricare ed eseguire un file manipolato che, oltre al legittimo ESET AV Remover, installava anche una backdoor Kalambur (nota anche come SUMBUR), realizzata in C#.

Questa backdoor sfrutta la rete Tor per comunicare con i server di comando e controllo, e abilita l’accesso remoto tramite OpenSSH e Remote Desktop Protocol (RDP) sulla porta 3389. In questo modo, i cyber criminali ottengono il pieno controllo delle macchine infette, potendo esfiltrare dati o lanciare ulteriori attacchi.

Convergenze con altri attacchi e gruppi APT

La campagna rivela sovrapposizioni tattiche con precedenti attacchi associati al gruppo Sandworm (APT44), già noto per l’uso di malware distruttivi come wiper e backdoor. Recenti rapporti indicano che Sandworm ha proseguito con operazioni distruttive in Ucraina, colpendo settori governativi, energetici, logistici e universitari con malware come ZEROLOT e Sting, confermando come i wiper siano ancora strumenti frequenti nelle attività di cyber guerra.

Parallelamente, un altro gruppo russo, RomCom, ha sfruttato una vulnerabilità zero-day di WinRAR (CVE-2025-8088, punteggio CVSS 8.8) in campagne di phishing a metà 2025, prendendo di mira aziende dei settori finanziario, manifatturiero, difesa e logistica in Europa e Canada. L’exploit consentiva l’installazione di vari backdoor, tra cui SnipBot, RustyClaw e agenti Mythic, mirati al furto di credenziali e all’esfiltrazione di dati sensibili, spesso in linea con obiettivi geopolitici russi.

Questi attacchi evidenziano la crescente sofisticazione delle minacce cyber in Europa dell’Est, l’uso strategico di brand affidabili per trarre in inganno le vittime e il ricorso a vulnerabilità zero-day e malware polimorfi da parte di gruppi APT per compromettere target ad alto valore.